Model Context Protocol (MCP) 正迅速成为连接 AI 代理与数据源、工具、服务的标准通信协议。但与此同时，MCP 带来的安全漏洞也在显现，对 agentic AI 系统构成独特威胁。以下是十种最常见的 MCP 漏洞，企业部署时务必警惕：

01

跨租户数据泄露

类似于跨站脚本攻击，不同租户的用户可能访问彼此的数据——无论是公司内部团队、商业合作伙伴还是客户。实地案例表明某些 MCP 实现已出现此漏洞，提醒企业务必强制执行租户隔离与最小权限原则。

恶意行为者伪装成员工或客户，通过隐藏的提示注入攻击——这种提示只有 AI 代理能“看懂”。当员工将该请求传给 AI 助手，AI 通过 MCP 接入敏感系统后便可滥用权限。防护策略包括限制 AI 权限、实时检测异常提示、记录全部 MCP 活动以供审计。

虽然市场上已有超过一万五千个 MCP 服务器可用，但其中不乏带有恶意指令的伪造版本。例如攻击者能在 MCP 描述、函数参数、错误提示中植入隐藏指令，让 AI 执行恶意操作。解决方式是只从可信来源下载，审查权限，并尽可能查看源代码。此外，还要警惕 MCP 更新后突然植入恶意代码（即“rug pull”攻击）。

攻击者可在如 GitHub 的公共平台上植入恶意提示。当 AI 代理调用 MCP 检查公共 Issues 时，可能读取该提示并触发访问私有仓库数据。源头平台未被入侵，但 AI 被利用作为跳板。

如果 MCP 服务器将 OAuth token 明文存储，攻击者可能通过后门或社工获取，之后用该 token 创建伪装的 MCP 实例。攻击者可访问 Gmail 历史、发送伪造邮件、设置转发规则等。因操作表现为合法 API 调用，常不被检测。

若使用不受控的第三方 MCP，一旦它本身调用下游 MCP，就可能在响应中混入隐藏的恶意指令，代理 AI 执行后导致敏感数据泄露。攻击者无需直接连接受害环境，一切通过多级 MCP 嵌套完成。

为防 AI 任意行动，常会加入人工确认机制，但攻击者可能发大量无害提示耗尽用户耐心，最终用户放松警惕批准恶意请求。这类似于 MFA 轰炸攻击，即过多身份验证提示迫使用户错误授权。

某些 MCP 服务未验证发起请求者身份，即使访问者权限低，也可能通过 AI 代理获取超出授权范围的数据。这可能来自内部人员、合作伙伴或外部渗透者，一旦被滥用，将造成重大破坏。

如果 MCP 无充分输入验证，将用户输入直接传递给后端系统，攻击者便可能执行类似 SQL 注入的命令攻击。防护措施包括严格参数化、验证输入内容，不允许内联 Shell 命令。

当 AI 访问多个 MCP 服务时，恶意服务可能诱导代理使用错误的 MCP。例如一个提供医疗常识，一个关联患者账单信息。代理在无提示情况下切换服务，将敏感账单信息错误地发送给攻击者——这一过程可能难以被日志察觉。

这些问题凸显了AI集成过程中协议层安全的重要性，尤其是MCP这种专为Agent而设计的协议，需要具备和API网关同等级别的“认证、授权、审计、防注入”机制。推荐企业采取以下安全措施：

• 引入MCP服务签名校验与清单审计

• 强化AI代理与MCP之间的权限边界控制

• 禁止agent自动调用高权限接口

• 启用prompt注入检测与MCP交互日志分析

• 定期扫描第三方MCP服务是否存在“组合调用链”

在Zero Trust架构中引入“AI工具最小调用边界”和“MCP可信链评估”，可能成为未来agentic系统中的最佳实践方向。