◈ AI 安全情报 ← 全部术语
Concept  ·  术语库

Model Context Protocol (MCP)

定义
一个开放标准,允许AI代理和模型安全地连接到外部工具、数据源和API,无需自定义集成代码。MCP定义了代理如何请求工具功能、代理和工具之间的数据流,以及适用的权限。
影响分析
MCP已成为Claude、Cursor、GitHub Copilot和数十个企业AI平台的事实上的代理集成标准。它是基于工具的AI妥协的主要攻击面;存在缺陷的MCP实现会为权限提升和数据泄露创造途径。
近期相关发现
Cloud Security Alliance: '7 MCP Risks CISOs Should Consider and How to Prepare' — Authoritative Practitioner Guidance on Model Context Protocol SecurityOpenClaw MCP Server Leaks Operator Custom Headers to Attacker-Controlled Redirects (CVE-2026-53840)Royal MCP WordPress Plugin — Unauthenticated Broken Access Control (CVE-2026-40775)Linx Security: GA of Agentic Access Control — Inline MCP Gateway with Tool-Level Policy EnforcementNetskope AI Gateway Adds Inline MCP Traffic Inspection and Agent Guardrailsmcp-server-kubernetes CVE-2026-46519 — CVSS 8.8 Access Control Bypass Via Environment Variable Override in MCP Kubernetes Servermcp-pinot MCP Server — No Authentication on HTTP Interface Exposes SQL Execution to Any Network Attacker (CVE-2026-49257)
相关主题发现 (12)
Royal MCP WordPress 插件——未认证的访问控制破坏(CVSS 7.3)VS Code MCP 服务器托管身份权限提升 (CVE-2026-40376)Linx Security 推出代理访问控制——具有工具级策略执行和完整审计日志的内联 MCP 网关Expedia 正在准备 Model Context Protocol 服务器以实现 AI 代理直接访问旅行库存1Password和OpenAI推出MCP服务器,防止编码代理凭据泄露到模型上下文中AI Engine WordPress插件:MCP OAuth权限提升漏洞导致订阅者权限升级为管理员Model Context Protocol STDIO传输中的系统性命令执行缺陷影响200,000台AI代理服务器CSA发布用于保护Agentic运行时环境的AARM框架在多个 MCP Server 实现中披露的路径遍历漏洞DocsGPT中通过MCP测试绕过的关键RCE漏洞已在版本0.16.0中修补MCP协议为2026年生产部署中的智能代理AI定位MCPwn: nginx-ui 身份验证绕过导致未经身份验证的 MCP 服务器接管
参考资料
Cloud Security Alliance: 7 MCP Risks CISOs Should ConsiderCloud Security Alliance: 7 MCP Risks CISOs Should Consider
在实时动态中跟踪 了解这一概念在真实 AI 安全与治理事件中的体现。
打开动态 →