本文对MCP进行了全面的概述,重点介绍了MCP的核心组件、工作流程以及MCP服务器的生命周期,包括创建、运行和更新3个关键阶段。我们分析了与每个阶段相关的安全和隐私风险,并提出了减轻潜在威胁的策略。

背景介绍

AI Tooling

在MCP之前,通过手工API连接、基于插件的接口、代理框架等与AI交互

需要将每个外部服务与特定的API集成,这导致了复杂性的增加和有限的可扩展性

有无MCP的差异区别

  • 手动 API 接线:以往 AI 应用与外部工具交互时,开发者需为每个工具手动建立 API 连接,涉及定制认证、数据转换和错误处理。随着 API 数量增多,系统维护负担加重,难以扩展和修改。而 MCP 提供统一接口,让 AI 模型能动态连接多个工具,避免了手动接线的复杂过程。
  • 标准化插件接口:为简化手动接线,出现了基于插件的接口,如 OpenAI ChatGPT 插件,通过标准化 API 模式连接外部工具。但这些交互常是单向的,无法维持状态或协调多步骤任务,且插件多平台特定,限制了跨平台兼容性,增加了维护成本。MCP 则是开源且跨平台的,能实现丰富的双向交互,便于处理复杂工作流程。
  • AI 智能体工具集成:像 LangChain 这样的 AI 智能体框架,为模型调用外部工具提供了结构化方式,但工具的集成和维护仍需大量手动操作,随着工具数量增加,复杂度也随之上升。MCP 通过标准化协议,简化了这一过程,使 AI 智能体可通过统一接口无缝调用、交互和链接多个工具,减少手动配置,提高任务灵活性。
  • 检索增强生成(RAG)和向量数据库:RAG 利用向量搜索从数据库中检索信息,改善模型回答的准确性,但它仅能被动检索信息,无法让模型执行主动操作。MCP 则超越了被动信息检索,使 AI 模型能主动与外部数据源和工具交互,在统一工作流程中实现检索和操作。

MCP 因能标准化 AI 模型与外部工具的交互、数据获取和操作执行,在 AI 社区迅速受到关注。它解决了手动 API 接线、插件接口和智能体框架的局限性,为 AI - 工具交互带来新可能。然而,MCP 仍处于发展早期,生态系统不完善,安全和工具可发现性等关键问题有待解决,且在学术界研究较少。因此,本文对 MCP 当前的发展情况进行分析,研究其新兴生态系统,识别潜在安全风险,规划未来发展方向并明确面临的挑战。

MCP架构

核心模块

MCP架构由3个核心组件组成:MCP主机、MCP客户端和MCP服务器。

MCP工作流

  • MCP 主机:MCP 主机是运行 MCP 客户端并为 AI 任务提供执行环境的 AI 应用。它集成了交互工具和数据,能与外部服务进行顺畅通信

    • 常见的有用于辅助内容创作的 Claude Desktop、用于代码补全和软件开发的 AI 驱动 IDE(如 Cursor),以及作为执行复杂任务的自治系统的 AI 智能体等。
    • MCP 主机承载 MCP 客户端,并保障其与外部 MCP 服务器的通信。

  • MCP 客户端:MCP 客户端在主机环境中充当中间角色,负责管理 MCP 主机与一个或多个 MCP 服务器之间的通信。它向 MCP 服务器发起请求,查询可用功能,并获取描述服务器能力的响应,以此确保主机与外部工具的无缝交互。除请求和响应管理外,MCP 客户端还处理来自 MCP 服务器的通知,实时更新任务进度和系统状态。此外,它通过采样收集工具使用和性能数据,用于优化和决策。MCP 客户端通过传输层与 MCP 服务器通信,实现安全可靠的数据交换。

  • MCP 服务器:MCP 服务器使 MCP 主机和客户端能够访问外部系统并执行操作,具备工具、资源和提示三大核心能力。
    • 工具:用于实现外部操作,MCP 服务器的工具可代表 AI 模型调用外部服务和 API。当客户端请求操作时,服务器能识别合适工具,与服务交互并返回结果。与传统函数调用不同,MCP 服务器的工具可让模型基于上下文自主选择和调用,且遵循标准化的供应 - 消费模型,具有模块化、可复用和易访问的特点。
    • 资源:主要为 AI 模型提供数据访问。资源可以是结构化或非结构化数据集,来源包括本地存储、数据库或云平台。当 AI 模型请求特定数据时,MCP 服务器负责检索和处理相关信息,辅助模型做出数据驱动的决策。
    • 提示:是优化工作流程的可复用模板。MCP 服务器生成并维护这些预定义的模板和工作流程,以优化 AI 响应,简化重复性任务,确保响应的一致性,提高任务执行效率。

MCP传输与通信

传输层在 MCP 中起到关键作用,它保障了主机环境与外部系统之间安全、双向的通信,使实时交互和高效的数据交换得以实现。

在通信过程中,传输层负责管理客户端初始请求的传输、服务器响应(包含可用功能信息)的传递,以及通知消息的交换,以此让客户端能及时了解系统的更新情况。MCP 客户端与服务器的通信遵循特定流程,==先由客户端发起对服务器功能的查询请求,服务器收到后回应可使用的工具、资源和提示信息。连接建立后,系统持续交换通知消息,保证服务器状态变化能实时反馈给客户端==,确保 AI 模型与外部资源保持同步,提升 AI 应用的运行效果。

生命周期

生命周期

MCP 服务器组件:MCP 服务器承担着管理外部工具、数据源和工作流程的重任,为 AI 模型高效安全地执行任务提供所需资源。其主要组件包括包含服务器基本信息的元数据定义服务器运行参数等的配置(涵盖源代码、配置文件和清单)、存储工具信息的工具列表、管理外部数据源访问的资源列表,以及用于提升 AI 模型执行复杂操作效率的提示和模板

组件发起活动后,有三个周期

  • 创建阶段:这是 MCP 服务器生命周期的起始阶段,主要有服务器注册(赋予服务器唯一名称和身份,方便客户端发现和连接)、安装程序部署(安装服务器及其相关组件,确保配置文件等正确就位)和代码完整性验证(在服务器运行前检查代码完整性,防止未经授权的修改)三个关键步骤。完成创建阶段,服务器才能安全地处理请求并与外部交互。
  • 操作阶段:在操作阶段,MCP 服务器积极处理请求、执行工具调用,并促进 AI 应用与外部资源的交互。具体包括根据 AI 应用请求调用合适工具的工具执行、处理多种命令并避免冲突的斜杠命令处理,以及通过沙盒机制保证执行环境安全隔离,防止未授权访问的操作
  • 更新阶段:更新阶段对于保持 MCP 服务器的安全性、时效性和适应性至关重要。它主要包含授权管理(验证更新后的访问权限,防止未经授权使用服务器资源)、版本控制(确保不同版本服务器的一致性,避免引入漏洞或冲突)和旧版本管理(停用或删除过时版本,防止攻击者利用已知漏洞)三项关键任务。

安全风险

  1. 创建阶段的安全风险
    • 名称冲突:恶意实体可能注册与合法服务器名称相同或相似的 MCP 服务器,误导用户安装。例如,攻击者注册类似合法服务器名称的恶意服务器,AI 智能体和客户端可能误调用,导致敏感数据泄露、执行未经授权的命令或工作流程中断。在多租户环境及公共服务器列表增多的情况下,名称冲突风险加剧。可以通过==制定严格的命名空间策略、实施加密服务器验证和构建基于声誉的信任系统==来降低风险。
    • 安装程序伪造:攻击者可能篡改 MCP 服务器安装程序,植入恶意代码或后门。一些非官方自动安装工具虽方便了用户,但由于来源未经严格验证,可能传播被篡改的软件包。大多数用户在使用一键安装功能时,很少检查代码安全性,使得攻击者有机可乘。为此,需要构建标准化、安全的安装框架,==加强软件包完整性检查,建立信任机制评估自动安装工具==的可信度。
    • 代码注入 / 后门:在创建阶段,恶意代码可能被悄悄植入 MCP 服务器代码库,通过受感染的依赖项、有漏洞的构建管道或对源代码的未经授权修改实现。这些隐藏的后门会导致数据泄露、权限提升等严重后果。应实施严格的代码完整性验证、依赖管理和定期安全审计,采用可重现构建和校验和验证,防止此类攻击。
  2. 操作阶段的安全风险
    • 工具名称冲突:MCP 生态系统中,若多个工具名称相同或相似,AI 应用在选择和执行工具时会产生混淆,可能调用恶意工具,导致敏感信息泄露或执行恶意命令。攻击者还可通过在工具描述中嵌入误导性语句影响工具选择。需要开发先进的验证和异常检测技术,识别和防范此类风险。
    • 斜杠命令重叠:多个工具定义相同或相似的斜杠命令,会使 AI 应用在执行命令时出现歧义,可能执行意外操作。例如在 Slack 等团队聊天系统中,重叠的命令注册曾导致安全漏洞。MCP 客户端应建立上下文感知的命令解析机制,运用命令消歧技术,并根据经过验证的工具元数据确定执行优先级。
    • 沙盒逃逸:沙盒机制用于隔离 MCP 工具的执行环境,但攻击者可能利用沙盒实现中的缺陷突破限制,访问主机系统,执行任意代码、操纵敏感数据或提升权限。常见的攻击途径包括利用系统调用漏洞、未正确处理的异常和第三方库漏洞等。通过研究实际的沙盒逃逸场景,可加强沙盒安全性,防止此类攻击。
  3. 更新阶段的安全风险
    • 更新后权限持续存在:MCP 服务器更新后,若过时或已撤销的权限未及时失效,可能被攻击者利用,继续访问敏感资源或进行恶意操作。例如在 API 驱动的环境中,特权持续存在的情况时有发生。应执行严格的权限撤销策略,确保权限变更在所有服务器实例中同步,并为 API 密钥和会话令牌设置自动过期机制,同时加强权限变更的日志记录和审计。
    • 重新部署易受攻击的版本:MCP 服务器多为开源,由开发者或社区维护,缺乏集中的安全更新审核平台。用户常从 GitHub 等仓库下载并自行配置,可能因更新不及时、版本回滚或使用未经验证的软件包源,重新部署存在漏洞的版本。非官方自动安装工具也可能默认使用缓存或过时版本。需要建立官方包管理系统,规范打包格式和集中服务器注册,实现自动化漏洞检测和缓解。
    • 配置漂移:随着时间推移,MCP 服务器的系统配置可能因手动调整、更新遗漏或工具与用户的冲突修改而偏离安全基线。在远程 MCP 服务器环境中,配置漂移影响更大,可能导致敏感数据暴露、权限提升等问题。应实施自动化配置验证机制和定期一致性检查,确保本地和远程 MCP 环境符合安全基线配置。

https://arxiv.org/pdf/2503.23278