盛世集团

模型上下文协议（Model Context Protocol, MCP）使AI代理和聊天机器人能够连接数据源、工具及其他服务，但若企业部署时未设置适当安全防护，将面临重大风险。

MCP由OpenAI主要竞争对手Anthropic于2024年末创建。该协议为AI模型连接各类数据源和工具提供了标准化方案，其优越性促使OpenAI、三大云服务商及多数主流AI厂商纷纷采纳。

短短数月内，数千个MCP服务器上市，支持AI助手连接企业数据与服务。随着代理式AI（agentic AI）被视为IT未来，MCP及相关协议（ACP、Agent2Agent）在企业中的应用将持续扩大。

但是随着企业全面进军AI的步伐，类似MCP这样的创新应用也带来了显著的风险。

2025年5月工作管理平台Asana发布MCP服务允许AI助手访问"工作图谱"。一个月后，安全研究人员发现漏洞可导致用户越权访问他人数据。同样在5月，Atlassian也发布了MCP服务，而攻击者利用漏洞提交恶意支持工单并获取了特权访问权限。

OWASP在Atlassian事件曝光当日启动"MCP十大风险"项目（截至发稿清单仍为空）。漏洞曝光同期，MCP紧急更新部分修复已知隐患。

该周内，MCP协议紧急发布更新，修复了安全专家长期担忧的部分漏洞。
以下将深入解析MCP协议，并阐述首席信息安全官（CISO）必须了解的风险要点、缓解策略及新兴解决方案，以加固其企业AI代理日益依赖的MCP服务安全。

MCP 是一种 API，但它并非让一个计算机程序以标准化方式与另一个计算机程序通信，而是让 AI 代理或聊天机器人能够与数据库、工具及其他资源进行交互。

过去企业需将数据转为向量数据库，通过RAG（检索增强生成）技术将上下文接入提示词，过程复杂且需定制开发。

开发者仅需在数据库前部署MCP服务，AI代理即可按需直接拉取数据，无需额外编程。Anthropic为Atlassian、PayPal等12家厂商提供预置MCP服务。

OpenAI支持连接Cloudflare、Shopify等11家服务，开发者可通过Responses API接入任意MCP服务器。

所有这些都对相关各方构成了重大风险，但由于该技术极其实用，许多企业仍选择继续推进。

不仅仅是科技公司。制造企业Yageo Group已在考虑部署这项技术，部分工作正通过近期收购的子公司推进。"目前我任职的母公司正在着手完善相关治理体系，"Yageo Group信息安全运营经理Terrick Taylor表示。

但他对数据泄露等安全隐患忧心忡忡——由于各分支机构都在开发大量应用系统，风控工作已力不从心。"再这样下去，我很快就要愁白头了。"

在MCP服务的应用上，个人开发者提升工作效率与企业级生产部署存在本质差异。

Asperitas咨询公司应用转型总监Derek Ashmore建议，企业客户不应仓促采用MCP技术，应待其安全性进一步提升、且主要AI供应商能为其生产环境提供更完善的MCP支持后再做考量。

核心矛盾在于：虽然通过安全部署可消除或缓解部分MCP服务器风险，但另一些风险已深植于MCP协议底层设计中。安全机构Equixly指出，MCP协议规范强制要求URL中包含会话标识符——这直接违背了"不将敏感数据暴露于URL"的安全准则。更严重的是，协议缺乏必要的消息签名与验证机制，导致传输过程中存在消息篡改漏洞。

Equixly首席技术官Alessio Della Piazza在技术博客中警示："MCP服务仍处于安全成熟度爬升阶段，这使其在技术采纳期尤为脆弱。"

最新版MCP协议更新已修复了部分底层设计缺陷。

当前MCP已被归类为OAuth资源服务，这一改进部分解决了Equixly指出的认证漏洞。此外，新增的资源标识符要求可有效阻止攻击者获取访问令牌。

最新协议已强制要求携带协议版本头标识，这将有效解决MCP服务器版本识别混乱问题。

尽管这些更新尚未完全修复安全研究人员发现的所有漏洞，也无法立即修正所有已部署的MCP服务，但它们标志着整个技术社区正朝着正确的安全方向迈进。

对企业用户而言，在部署MCP服务和实施授权流程时，现已形成一套全新的安全实践规范。

若现有措施仍显不足，Anthropic公司更在其支持门户新增了MCP服务建设专项指南，为新建MCP服务的组织提供更全面的安全实践参考。

对于部署第三方MCP服务器的组织机构，网络安全企业CyberArk提出以下专业建议：

• 启用新MCP服务器前，须核验其是否列入MCP GitHub官方发布清单；若未收录，建议先在沙箱环境中试运行。

• 取保MCP纳入威胁建模体系，并贯穿 透测试与红队演练全流程。

• 部署本地MCP服务器，需执行人工代码审计以检测异常与后门，并辅以大语言模型或自动化分析工具扫描代码库，双重验证潜在恶意代码模式。

• 务必选用默认开启"预审模式"的MCP客户端——该模式需在批准前完整显示每个工具调用请求及其输入参数。

深刻理解MCP安全机制将成为企业数字化转型的关键要务，特别是在大规模部署AI智能体时更显其战略价值。

据Gartner研究显示，MCP正崛起为AI集成领域的事实标准——该机构预测到2026年，75%的API网关供应商与50%的iPaaS服务商将原生集成MCP功能？。

各机构必须警惕第三方MCP服务带来的攻击面扩张及新型供应链风险——这对网络安全管理者而言似曾相识，此类问题实为行业长期痛点。但F5 Networks首席技术官办公室杰出工程师兼技术布道师Lori MacVittie警示：MCP服务器绝非简单的API升级版本，而是堪比从边界安全转向应用安全的基础性范式变革。

"MCP技术正在颠覆所有传统安全范式，"她强调道，"那些我们长期依赖的核心安全假设正在被彻底重构。"

根本原因在于：MCP的核心功能运行于其上下文窗口环境——该场景下MCP服务器与AI智能体采用明文通信机制。这意味着系统存在欺骗与操控的潜在漏洞。"攻击者完全可以声称'我是CEO'，现有机制如何防范此类身份欺诈？"

由于核心组件——AI智能体与大语言模型——具有非确定性特征，整个系统无法确保按设计意图可靠运行。"我认为目前尚未有人真正掌握其正确实现方式，"MacVittie坦言。

这并不意味着当前市场缺乏MCP安全解决方案供应商。以下为部分代表性海外厂商：

• BackSlash安全公司：提供包含数千台MCP服务器的可搜索数据库（附带风险评级），免费MCP风险自评估工具，专业MCP风险管理商业服务。

• Lasso Security：开源MCP网关，支持MCP服务器的配置与生命周期管理，并能净化MCP消息中的敏感信息。

• Invariant Labs: 开源MCP网关，支持MCP服务器的配置及全生命周期管理，可对MCP消息中的敏感信息进行净化处理。

• Pillar Security提供MCP服务器防护服务，包括自动化发现、红队评估和运行时；。

• 派拓网络(Palo Alto Networks)旗下Cortex Cloud WAAS工具提供MCP协议验证功能，并能检测针对MCP端点的API层攻击。