卡巴斯基发现，模型上下文协议 (MCP) 可能被网络罪犯武器化，用作供应链攻击途径，可能导致包括但不限于密码、信用卡、加密货币钱包及其他类型数据泄露等危害。在其最新研究中，卡巴斯基专家展示了这种攻击的概念模型，并为将AI工具集成到工作流程中的企业提供了缓解措施。

由Anthropic于2024年开源的模型上下文协议（MCP）是一项标准，它为人工智能系统（尤其是基于大语言模型的应用程序）提供了连接外部工具与服务的统一框架。例如，企业可借助该协议让大语言模型实现文档检索与更新、代码仓库与API管理，以及访问客户关系管理、财务系统和云数据等功能。

与任何开源工具一样，MCP 也可能被网络罪犯滥用。卡巴斯基应急响应团队（GERT）专家在最新研究中构建了一个概念验证模型，模拟攻击者如何滥用MCP服务器。这样做是为了演示供应链攻击如何通过该协议展开，并展示运行此类工具而不进行适当审核可能造成的潜在危害。通过受控的安全实验室测试，他们模拟了安装恶意MCP服务器的开发工作站环境，最终成功获取以下敏感数据类型：

●浏览器密码

●信用卡数据

●加密货币钱包文件

●API令牌和证书

●云配置及其他敏感信息

在模拟攻击过程中，“受害者”仅能看到合法输出。卡巴斯基尚未在现实中观察到此类攻击手段，但警告称该攻击方式不仅可能被网络犯罪分子用于窃取敏感数据，还可能引发其他危害，例如执行恶意代码、安装后门程序及部署勒索软件等。

卡巴斯基在研究中使用Cursor作为AI示例客户端连接被武器化的MCP服务器，但该攻击概念同样可能适用于其他大语言模型。Cursor 和 Anthropic 已被告知研究结果。

“供应链攻击仍然是网络安全领域最紧迫的威胁之一，我们所演示的MCP 的潜在武器化也遵循了这一趋势。当前人工智能热潮席卷全球，各企业争相将AI工具集成到工作流程中，企业可能会放松警惕，并通过采用看似合法但未经验证的自定义 MCP（可能发布在 Reddit 或类似平台上），最终遭受数据泄露。这凸显了建立强大安全态势的重要性。在我们的新白皮书中，我们分享了这种潜在攻击途径的技术细节以及有助于避免称为受害者的防御措施，”卡巴斯基全球经济响应团队（GERT）事件响应专家Mohamed Ghobashy表示。

“人工智能集成虽为企业带来了前所未有的效率提升，但像 MCP 这样的新型连接协议，也为网络威胁打开了隐藏的入口。” 卡巴斯基大中华区总经理郑启良表示，“开源技术在推动技术进步的同时，也需要严格的安全审查，一个看似合规的组件，很可能成为供应链攻击的漏洞。我们呼吁企业加强部署前的安全审计、网络隔离以及实时监控工作。在当前这个 AI 新时代，主动防御结合专业的托管安全服务，才是守护敏感数据的关键所在。”

详细的研究报告发表在 Securelist 上。为了管理与 MCP 滥用攻击相关的风险，卡巴斯基 GERT 专家建议用户：

· 安装前请检查 MCP。每台新服务器投入使用前，需经过扫描、审查与批准流程。维护一份已批准服务器的白名单，确保任何新加入的服务器都能被立即识别。

· 锁定权限。在容器或虚拟机中运行服务器，仅限访问其必需的文件夹，并实施网络隔离，确保开发环境无法访问生产环境或其他敏感系统。

· 监控异常行为和异常情况。记录每个提示和响应，以便可以在记录中发现隐藏指令或异常工具调用。注意可疑提示、意外的 SQL 命令或异常数据流，例如由标准工作流程之外的代理触发的出站流量。

· 采用卡巴斯基托管安全服务，例如托管检测与响应（MDR）和/或事件响应服务，覆盖整个事件管理周期——从威胁识别到持续防护与修复。这些服务能帮助企业防御规避式网络攻击、开展事件调查，即便在缺乏网络安全人员的情况下也能获得专业知识。

卡巴斯基安全服务

每年为全球财富500强组织交付数百个信息安全项目，包括：事件响应、托管检测、SOC咨询、红队测试、渗透测试、应用程序安全、数字风险保护。全球紧急响应团队是卡巴斯基安全服务的一部分，每年处理数百起事件，从而构建清晰的攻击图景并分享响应建议。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务，以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情，请访问www.kaspersky.com。