随着 Agentic AI 的快速发展，模型上下文协议（MCP）已成为其中不可或缺的基础组件，但它同样存在被恶意利用的风险。

MCP 由 Anthropic 在 2024 年提出并开源发布，现已成为事实上的标准接口，用于确保 AI 代理与工具、数据源和上下文之间的一致性与安全交互。它规定了 AI 在调用外部工具、与其他代理通信以及访问数据时的安全方式，并且要求所有交互可审计。因此，MCP 是有效运行 Agentic AI 的核心前提。

但和所有软件一样，MCP 也有可能被攻击者滥用。本月，一个潜在攻击场景被披露：攻击者可以通过邮件日历邀请向 ChatGPT 的日历集成模块投递恶意指令，实现免交互越狱攻击。

专注 AI 安全的公司 Adversa 近期发布了一份《MCP 前 25 大漏洞分析》，称其为“迄今最全面的 MCP 漏洞研究”。

尽管 OWASP 也计划推出 MCP Top 10，但尚未发布，且可能只覆盖十个漏洞。Adversa 表示，并非要与 OWASP 竞争，而是为正在开发或部署 Agentic AI 的企业提供即时支持。“我们会在合适的地方映射到 OWASP、CSA、NIST，并计划将该研究贡献给未来正式的 OWASP MCP 工作组。”Adversa 联合创始人兼 CTO Alex Polyakov 在接受 SecurityWeek 采访时表示。

Adversa 的漏洞清单为每个风险给出：

• 官方推荐命名（含常见别名）

• 影响评分

• 可利用性评级

• 第三方解读链接

其中，影响范围从 关键级别（可导致系统完全沦陷或远程代码执行 RCE），到 低风险（仅导致信息泄露）。利用难度则分为：极易利用（只需基本知识和浏览器即可触发），到 极难利用（仅停留在理论层面或需要国家级资源）。

漏洞排名公式为：

• 影响权重 40%

• 可利用性 30%

• 流行度 20%

• 修复复杂度 10%

毫不意外，**提示注入（Prompt Injection）**位列第一，它兼具关键级别影响与极低利用门槛，被认为是“完美风暴”。而在榜单末尾的 MCP 偏好操纵攻击（MPMA），虽只被评为低影响且利用复杂，但仍被收录在第 24 位。

Polyakov 表示，漏洞文档将 按月更新，若有新的安全事件或 CVE 产生，也会立即修订。  目前的“进一步阅读”链接多指向某漏洞最早的描述，但未来会不断更新，收录更权威和详尽的资料，并记录在更新日志中。

值得注意的是，这份文档不仅是漏洞目录，还附带 安全实践与缓解清单：

• 立即措施：例如“输入验证是强制要求——43% 的 MCP 服务器存在命令注入漏洞，这是不可接受的。必须对所有输入进行验证与清洗。”

• 纵深防御策略：分为协议层、应用层、AI 专用防护和基础设施层。例如，协议层要求强制启用 TLS，应用层要求数据库操作使用参数化查询。

• 三个月缓解时间线：从“立即为所有外部接口实现身份验证”，到第三个月“基于零信任模型重构架构”。

Adversa 提供的《MCP 前 25 大漏洞》被视为首个系统化指南，专门针对当前最热门的 IT 领域——从“人工执行”向“自动化智能”切换过程中暴露的底层风险。

这份指南旨在帮助企业 IT 与安全团队真正理解 MCP 复杂性，并制定切实可行的防御路线图。