文章摘要
【关 键 词】 安全漏洞、数据泄露、提示注入、MCP协议、AI安全
安全研究团队General Analysis近期警告称,使用Cursor搭配MCP可能导致SQL数据库在用户不知情的情况下被泄露,攻击者仅需一条看似正常的用户信息即可实现。这种被称为”致命三连”的攻击模式结合了提示注入、敏感数据访问和信息回传,随着MCP被更多Agent接入,这类配置问题正迅速演变为AI应用的核心安全挑战。
MCP协议自2024年底发布后迅速普及,到2025年初已有超过1000个服务器上线,获得科技巨头支持并构建起庞大的Agent网络。其简单易用的特性吸引了大量开发者,但便利背后隐藏着被严重低估的安全风险。General Analysis的研究显示,攻击者通过在客服工单中插入特定指令,就能让Cursor的MCP代理自动泄露包含OAuth令牌等敏感信息的数据库表,整个过程仅需30秒且不会触发任何警报。
这类攻击的特殊性在于,单个MCP就能同时暴露三种功能,而非需要多个MCP组合。类似案例也出现在GitHub MCP上,研究人员发现通过提交包含恶意指令的Issue,就能诱导LLM Agent泄露用户的私有仓库信息。值得注意的是,这些问题并非代码缺陷,而是需要在代理系统层面解决的根本架构问题。
MCP协议最初由Anthropic设计用于本地开发环境,随着企业级应用需求增加引入了HTTP支持,但认证与授权问题随之凸显。安全专家Daniel Garnier-Moiroux指出,MCP与OAuth协议存在”阻抗失配”问题,两者设计目标完全不同却被强行组合。OAuth为人类用户授权设计,而MCP是为AI agent设计的接口协议。当前规范缺乏细粒度的授权机制,对”角色”概念的支持不足,导致安全风险加剧。
随着MCP运行环境从本地转向云端,授权机制面临全新挑战。Daniel认为需要重新审视授权含义,解决客户端默认访问权限、授权检查点设置等关键问题。虽然当前存在诸多不匹配,但这种协议融合的尝试仍具有价值,需要通过持续反馈和调试逐步完善。
原文和模型
【原文链接】 阅读原文 [ 3137字 | 13分钟 ]
【原文作者】 AI前线
【摘要模型】 deepseek/deepseek-v3-0324
【摘要评分】 ★★★★★
相关文章
