全面 MCP 安全清单：守护 AI 驱动型基础设施安全-智慧技术应用

当前，全面全清I驱各行业组织纷纷加速布局 AI 驱动型基础设施，安安全全力打造 “AI 为先” 的单守动型运营模式。然而，基础安全防护建设却明显滞后，设施成为一大短板。全面全清I驱基于大型语言模型（LLMs）和多组件协议（MCP）构建的安安全多智能体系统，虽在效率提升、单守动型业务拓展上潜力巨大，基础但也催生了传统安全工具无法应对的设施新型漏洞，给 AI 环境安全带来严峻挑战。全面全清I驱

为解决这一痛点，安安全网络安全领域企业 Wallarm 密切关注新兴攻击面的单守动型防护指南，云计算尤其参考了近期发布的基础《OWASP 多智能体系统威胁建模指南 v1.0》，结合实际应用场景，设施编制出一份实用的 MCP 安全清单。

这份清单精准聚焦多智能体系统中的 11 类核心安全风险，不仅清晰剖析了各类风险的危害，还给出了针对性的防御方案。比如，针对 “意外的远程代码执行与代码攻击”，提出权限限制、环境隔离、亿华云执行控制等多维度防护手段；面对 “模型不稳定导致 MCP 请求不一致” 问题，从调用限制、速率管控、提示优化三方面制定应对策略。此外，清单还涵盖工具滥用、客户端仿冒、通信不安全、资源过载、服务账户信息泄露、日志操纵、权限泄露、服务器权限隔离不足、生态系统中恶意服务器等风险，对应的防御措施涉及验证监控、源码下载身份管理、加密通信、资源管控、敏感信息保护等多个层面。

有了这份 MCP 安全清单，各组织在推进 AI 基础设施建设时，能更精准地识别安全隐患、部署防护措施，从而有效守护原生 AI 环境安全，打造兼具灵活性与安全性的 AI 驱动型基础设施。

1. T11—— 意外的远程代码执行与代码攻击

在原生 AI 系统中，智能体并非仅对查询做出响应，它们还会生成并执行代码。这为隐蔽而危险的源码库提示注入攻击打开了方便之门。若攻击者在提示中注入操作系统命令等恶意指令，大型语言模型可能在不知情的情况下嵌入并执行这些指令，造成严重安全威胁。缓解措施可从多维度实施：

权限限制：仅在绝对必要时允许代码生成；应用最小权限原则，仅授予完成任务所需的最低权限；限制对文件系统和网络等系统资源的访问。环境隔离：对执行环境进行沙箱隔离，防止主机级别的安全危害。执行控制：实施执行控制策略，对具有提升权限的 AI 生成代码进行标记并暂停执行，等待人工审核；限制 CPU、服务器租用内存和执行时间，使其与任务范围相匹配；使用允许列表而非阻止列表来明确规定允许的操作；在智能体代码和工具中始终遵循安全编码规范。2. T26—— 模型不稳定导致 MCP 请求不一致

模型不稳定易引发 MCP 客户端向 MCP 服务器发送不一致或异常请求，干扰系统正常操作。例如，模型执行构建 SQL 查询等任务出错时，可能反复重试错误指令，给后端带来过多流量，进而演变为拒绝服务问题。由于模型难以及时察觉自身错误，基础设施需具备错误识别能力，具体防范措施如下：

调用限制：按会话或任务对工具调用的频率和数量加以限制。速率管控：根据网络状况和智能体活动实施自适应速率限制。提示优化：构建具有明确格式和逻辑步骤的高防服务器提示；使用思维链（CoT）提示法（一种引导模型进行逐步推理的方法），减少因跳跃式推理导致的不一致性。3. T2—— 通过 MCP 实现的工具滥用

在 MCP 环境中运行的智能体能够访问工具 API 执行计算、转换或业务操作。但若缺乏适当验证，智能体可能被诱骗使用错误工具执行任务，改变输出结果或破坏信任。为缓解这一风险，可从多个层面着手：

验证与监控层面：实施严格的工具访问验证，对每次调用进行验证；监控工具使用模式，及时发现异常情况。权限与范围层面：为不同工具配置不同权限集；限制每个工具的访问范围，使其仅能获取所需资源。隔离与安全层面：在隔离环境中运行工具，防止交叉影响；验证输入，限制函数范围，阻止危险操作。管理与规范层面：防止命名冲突和未授权的工具间访问；对工具调用的频率和数量加以限制；在文档中包含必要的类型、计量单位和运行时验证要求，确保工具正确使用。4. T40——MCP 客户端仿冒：身份管理问题

在分布式智能体生态系统中，身份至关重要。若恶意攻击者获取有效凭据，或系统未能正确验证智能体身份，他们可能访问特权工具或数据。为防范这一风险，需构建完善的身份管理体系：

开发强大的身份验证框架，确保身份不与单一凭据相关联。使用行为分析检测智能体活动中的异常情况。实施可随时间调整且能抵御操纵的智能体信誉系统。强制使用公钥基础设施（PKI），智能体必须通过由可信证书颁发机构（CA）颁发的数字证书进行身份验证，PKI 通过证书链验证机制有效确保证书的真实性和完整性。验证私钥所有权，以确认智能体身份。使用具有智能体间身份验证功能的安全通信协议。实施沙箱隔离和政策执行措施，限制已被入侵智能体的影响范围。5. T30——MCP 实施中的通信不安全问题

若 JSON-RPC 和 SSE 等通信协议实施不当，攻击者可能拦截、修改或注入传输中的数据。例如，MCP 客户端与服务器间的请求和响应通过未加密的 HTTP 发送时，攻击者可能篡改响应，导致大型语言模型输出无效结果。缓解这一风险需强化通信安全：

使用 HTTPS 和双向 TLS（mTLS）等安全通信协议。验证证书属性和颁发机构，防止中间人攻击。对所有与 MCP 相关的通信强制实施加密和身份验证。持续监控流量，警惕异常模式、有效负载篡改或注入尝试。6. T4—— 资源过载风险

攻击者可能通过大量 CPU、内存或服务请求使 AI 系统过载，降低系统性能或导致拒绝服务。例如，恶意攻击者可能触发 100 次大型文件读取操作，或发送 PostgreSQL 的 pg_sleep (600) 睡眠命令冻结数据库操作。可通过以下方式缓解风险：

部署资源管理控制措施，合理分配 CPU 、内存和 I/O 预算。结合实时监控实施自适应扩展。按智能体会话实施 AI 速率限制政策。对提示大小、任务持续时间和重试次数设置严格配额。7. T21—— 服务账户信息泄露隐患

MCP 服务账户配置不当可能导致凭据通过工具、日志或文件访问泄露。例如，连接到读取环境变量工具的大型语言模型可能无意中泄露 AWS 凭据。防范措施包括：

自动对个人身份信息（PII）和凭据进行脱敏处理，尤其是从日志或智能体输出中自动检测并隐藏密钥、令牌等敏感信息。按角色和上下文使用细粒度的访问控制。定期轮换凭据，缩短可能被入侵的时间窗口。设置防护措施，防止凭据共享或意外泄露。对所有访问令牌和 API 应用最小权限原则。8. T22—— 选择性日志操纵问题

攻击者可能操纵日志行为，隐藏恶意活动或用无用事件淹没系统。例如，他们可能将日志级别更改为 DEBUG 或 TRACE 以隐藏攻击，用无用事件使日志系统过载，或通过配置操纵禁用日志功能。缓解策略如下：

实施日志的加密验证，确保日志完整性。使用具有严格访问控制的不可变日志存储，防止日志被篡改或删除。通过元数据丰富日志内容，提高可见性。部署异常检测系统，充分考虑 AI 智能体的非确定性行为。9. T3—— 权限泄露风险

攻击者可能通过配置错误、提示注入或访问逻辑操纵来提升权限。例如，某个提示可能说服大型语言模型向攻击者授予管理员权限，或恶意用户可能将管理员组权限恶意降级至普通用户访问级别。为缓解这一风险：

在所有层级实施细粒度访问控制。动态验证角色变更，并记录所有权限提升操作。除非预先获得批准，否则阻止智能体之间的权限委托。对高风险操作实施人工验证。使用分层防御措施防止提示注入和权限滥用。10. T45——MCP 服务器权限隔离不足：身份管理问题

如果 MCP 服务器对主机资源或网络拥有过多访问权限，安全入侵可能在系统间蔓延。例如，MCP 服务器上某个易受攻击的工具允许路径遍历（一种常见 Web 漏洞，攻击者可通过构造特殊路径访问未授权文件），可能泄露其他服务或 MCP 环境的机密信息。防止此类情况需做好权限隔离：

在服务器级别应用最小权限原则。通过沙箱隔离和资源边界隔离智能体和工具。实施运行时监控和严格的访问执行措施，防止权限提升或横向移动。11. T47—— 生态系统中的恶意 MCP 服务器：智能体身份管理问题

攻击者可能部署恶意 MCP 服务器伪装成合法服务器，连接到该恶意服务器的智能体随后会被入侵。这是针对 MCP 信任模型的生态系统级攻击。缓解这一风险需强化身份验证与信任机制：

使用去中心化标识符（DIDs）在服务间进行身份验证，DIDs 是一种去中心化的身份标识方式，不依赖中心化机构即可实现身份验证。应用双向 TLS 和 DID 签名消息等安全身份验证协议。通过带时间戳的凭据验证防止重放攻击。维护可适应动态智能体属性的可信智能体注册表。结语

如果没有强大的安全模型，MCP 和多智能体系统的灵活性就会变得脆弱不堪。通过遵循 OWASP 的威胁建模指南和上述建议，各组织能够打造出既安全又智能的 AI 基础设施。

原文链接:

https://securityboulevard.com/2025/08/comprehensive-mcp-security-checklist-protecting-your-ai-powered-infrastructure/?utm_source=rss&utm_medium=rss&utm_campaign=comprehensive-mcp-security-checklist-protecting-your-ai-powered-infrastructure）

全面 MCP 安全清单：守护 AI 驱动型基础设施安全

友情链接