开源标准Model Context Protocol（模型上下文协议 ，模型MCP）使AI系统无需集成即可与各类数据源
 、上下工具和服务交互  ，文协为Agentic AI（代理型人工智能）奠定基础
。大安洞解但企业在采用MCP服务器作为AI战略组成部分时，全漏必须警惕相关安全风险
。模型本文系统梳理了MCP协议的上下十大关键漏洞。

类似跨站脚本攻击，文协跨租户数据泄露允许一组用户访问其他用户数据，大安洞解可能影响内部团队 、全漏业务伙伴及客户。模型该漏洞已在Asana的免费模板上下MCP服务器实现中被发现 。安全公司UpGuard建议通过强制租户隔离和实施最小权限原则来防范。文协

攻击者伪装成员工或客户向人工客服发送请求
，大安洞解其中嵌入仅AI可读的全漏隐蔽指令
。若客服将请求转交能访问敏感数据的AI助手 ，将造成严重危害 。防护措施包括：

现成的MCP服务器下载包可能暗藏风险。恶意版本会篡改描述字段以绕过加密措施窃取数据 。攻击面包括：

防范建议
：

攻击者通过在GitHub等公开平台创建含恶意指令的高防服务器Issue ，诱导检查该仓库的AI代理执行数据泄露操作。虽然GitHub服务器未被入侵，但成为了攻击渠道。尽管人工确认每个工具调用是最佳实践 ，但多数用户已采用"始终允许"策略 。

当OAuth令牌以明文形式存储在MCP配置文件中时 ，攻击者可通过后门或社工手段窃取
。与常规账户劫持不同，通过MCP使用被盗令牌的亿华云API访问看起来完全合法 ，增加了检测难度
。以Gmail账户为例，攻击者可获取完整邮件记录
、发送伪造邮件或设置监控规则 。

使用未经审查的第三方MCP服务器时，其可能向次级远程服务器发起请求
。次级服务器返回看似合法但包含隐藏恶意指令的输出，经组合后传递给AI代理执行。该方法可窃取环境变量中的云计算敏感数据，且无需与恶意服务器建立直接连接。

即使要求人工审批所有AI代理操作，恶意MCP服务器仍可通过海量无害请求（如读取权限申请）使用户产生审批疲劳，最终忽视隐藏其中的危险指令
。该攻击原理与MFA疲劳攻击类似
，都是通过持续请求迫使用户降低警惕 。

当MCP服务器未配置身份验证时，低权限用户可能通过AI代理获取超出其访问级别的信息 。建站模板若该服务器同时对外开放 ，将导致更严重的权限提升风险 。

若MCP服务器未经验证直接转发用户输入 ，攻击者可注入恶意命令（类似SQL注入）。防护措施包括：

当AI代理可访问多个MCP服务器时 ，恶意服务器可能诱导其不当使用其他服务器 
。例如医疗场景中
，表面提供症状查询的恶意服务器可暗中指令AI代理通过正常计费系统泄露患者数据。