来源:
https://arxiv.org/pdf/2503.23278
https://arxiv.org/pdf/2503.23278
模型上下文协议(MCP):态势、安全威胁及未来研究方向
XINYI HOU, 华中科技大学,中国
YANJIE ZHAO, 华中科技大学,中国
SHENAO WANG, 华中科技大学,中国
HAOYU WANG*, 华中科技大学,中国
摘要
模型上下文协议(MCP)是一种标准化接口,旨在实现 AI 模型与外部工具和资源之间的无缝交互,打破数据孤岛并促进跨不同系统的互操作性。本文全面概述了 MCP,重点关注其核心组件、工作流程以及 MCP 服务器的生命周期,该生命周期包括三个关键阶段:创建、运行和更新。我们分析了与每个阶段相关的安全和隐私风险,并提出了缓解潜在威胁的策略。本文还考察了当前的 MCP 态势,包括行业领导者的采用情况、各种用例,以及支持其集成的工具和平台。我们探讨了 MCP 的未来方向,强调了在其更广泛的 AI 生态系统中影响其采用和演变的挑战与机遇。最后,我们为 MCP 利益相关者提供建议,以确保随着 AI 态势的持续发展,MCP 能够安全且可持续地发展。
CCS 概念: • 通用与参考 → 调查与概述;• 安全与隐私 → 软件与应用安全;• 计算方法论 → 人工智能。
附加关键词与短语: 模型上下文协议,MCP,愿景论文,安全
ACM 参考文献格式:
Xinyi Hou, Yanjie Zhao, Shenao Wang, and Haoyu Wang. 2025. 模型上下文协议(MCP):态势、安全威胁及未来研究方向。1, 1 (April 2025), 20 页。https://doi.org/10.1145/nnnnnnn.nnnnnnn
(arXiv:2503.23278v2 [cs.CR] 6 Apr 2025)
1 引言
近年来,能够与广泛工具和数据源交互的自主 AI 代理的愿景获得了显著的发展势头。随着 OpenAI 引入函数调用 (function calling) [38],这一进展在 2023 年加速,它允许语言模型以结构化方式调用外部 API。这一进步扩展了大型语言模型(LLM)的能力,使其能够检索实时数据、执行计算并与外部系统交互。随着函数调用的普及,围绕它形成了一个生态系统。OpenAI 推出了 ChatGPT 插件 (plugin) [37],允许开发者为 ChatGPT 构建可调用的工具。像 Coze [4] 和 Yuanqi [50] 这样的 LLM 应用商店也推出了它们的插件商店,支持专为其平台设计的工具。像 LangChain [26] 和 LlamaIndex [29] 这样的框架提供了标准化的工具接口,使得将 LLM 与外部服务集成更加容易。包括 Anthropic、Google 和 Meta 在内的其他 AI 提供商也引入了类似的机制,进一步推动了采用。尽管取得了这些进步,但集成工具仍然是碎片化的。开发者必须为每个服务手动定义接口、管理身份验证并处理执行逻辑。不同平台上的函数调用机制各不相同,需要重复实现。此外,当前方法依赖于预定义的工作流,限制了 AI 代理在动态发现和编排工具方面的灵活性。
2024 年末,Anthropic 推出了模型上下文协议 (MCP) [3],这是一种旨在标准化 AI-工具交互的通用协议。受到语言服务器协议 (LSP) [22] 的启发,MCP 为 AI 应用提供了一个灵活的框架,使其能够动态地与外部工具通信。MCP 不依赖于预定义的工具映射,而是允许 AI 代理根据任务上下文自主发现、选择和编排工具。它还支持人机协同(human-in-the-loop)机制,使用户能够根据需要注入数据或批准操作。通过统一接口,MCP 简化了 AI 应用的开发,并提高了它们处理复杂工作流的灵活性。自发布以来,MCP 已从一个小众协议迅速成长为 AI 原生应用开发的关键基础。一个蓬勃发展的生态系统已经出现,成千上万的社区驱动的 MCP 服务器使模型能够访问 GitHub [41]、Slack [42] 甚至像 Blender [1] 这样的 3D 设计工具。像 Cursor [12] 和 Claude Desktop [2] 这样的工具展示了 MCP 客户端如何通过安装新的服务器来扩展其能力,将开发者工具、生产力平台和创意环境都转变为多模态 AI 代理。
尽管 MCP 被迅速采用,其生态系统仍处于早期阶段,安全、工具可发现性和远程部署等关键领域仍缺乏全面的解决方案。这些问题为进一步的研究和开发带来了未被发掘的机会。虽然 MCP 在业界因其潜力而广受认可,但它在学术研究中尚未得到广泛分析。研究中的这一空白促使我们撰写本文,本文首次对 MCP 生态系统进行分析,考察其架构和工作流,定义 MCP 服务器的生命周期,并识别每个阶段的潜在安全风险,如安装程序欺骗和工具名称冲突。通过这项研究,我们对 MCP 的当前态势进行了彻底的探索,并提供了一个前瞻性的愿景,强调了关键影响,勾勒了未来的研究方向,并指出了为确保其可持续增长必须克服的挑战。
我们的贡献如下:
(1) 我们首次对 MCP 生态系统进行了分析,详细介绍了其架构、组件和工作流程。
(2) 我们识别了 MCP 服务器的关键组件,并定义了它们的生命周期,包括创建、运行和更新阶段。我们还强调了与每个阶段相关的潜在安全风险,为保护 AI-工具交互提供了见解。
(3) 我们考察了当前的 MCP 生态系统态势,分析了其在不同行业和平台上的采用情况、多样性和用例。
(4) 我们讨论了 MCP 快速采用的影响,为利益相关者指出了关键挑战,并概述了未来在安全、可扩展性和治理方面的研究方向,以确保其可持续增长。
本文的其余部分结构如下:§ 2 比较了使用和不使用 MCP 的工具调用,突出了本研究的动机。§ 3 概述了 MCP 的架构,详细说明了 MCP 主机、客户端和服务器的角色,以及 MCP 服务器的生命周期。§ 4 考察了当前的 MCP 态势,重点关注关键行业参与者和采用趋势。§ 5 分析了 MCP 服务器生命周期中的安全和隐私风险,并提出了缓解策略。§ 6 探讨了影响、未来挑战以及在动态 AI 环境中增强 MCP 可扩展性和安全性的建议。§ 7 回顾了先前关于 LLM 应用中工具集成和安全性的工作。最后,§ 8 对全文进行总结。
*Haoyu Wang 是通讯作者 (haoyuwang@hust.edu.cn)。
作者地址:Xinyi Hou, xinyihou@hust.edu.cn, 华中科技大学,武汉,中国;Yanjie Zhao, yanjie_zhao@hust.edu.cn, 华中科技大学,武汉,中国;Shenao Wang, shenaowang@hust.edu.cn, 华中科技大学,武汉,中国;Haoyu Wang, haoyuwang@hust.edu.cn, 华中科技大学,武汉,中国。
允许出于个人或课堂教学目的,免费制作本作品全部或部分的数字或硬拷贝,前提是副本非为盈利或商业利益而制作或分发,并且副本须带有此通知和首页上的完整引用。本作品中非作者拥有的组件的版权必须得到尊重。允许带有署名的摘要。未经事先明确许可和/或支付费用,禁止以其他方式复制、重新发布、在服务器上张贴或重新分发到列表。请通过 permissions@acm.org 请求许可。
© 2025 版权归作者/所有者所有。出版权授权给 ACM。
ACM XXXX-XXXX/2025/4-ART
https://doi.org/10.1145/nnnnnnn.nnnnnnn
, Vol. 1, No. 1, Article . Publication date: April 2025.
2 背景与动机
2.1 AI 工具化 (Al Tooling)
在 MCP 引入之前,AI 应用依赖各种方法与外部工具交互,例如手动 API 连接、基于插件的接口和代理框架。如图 1 所示,这些方法需要将每个外部服务与特定的 API 集成,导致复杂性增加且可扩展性有限。MCP 通过提供标准化协议解决了这些挑战,实现了与多个工具的无缝和灵活交互。
图 1. 使用和不使用 MCP 的工具调用。
2.1.1 手动 API 连接 (Manual API Wiring)。 在传统实现中,开发者必须为 AI 应用与之交互的每个工具或服务建立手动 API 连接。这个过程需要为每次集成进行自定义的身份验证、数据转换和错误处理。随着 API 数量的增加,维护负担变得显著,常常导致系统紧密耦合且脆弱,难以扩展或修改。MCP 通过提供统一接口消除了这种复杂性,允许 AI 模型动态连接多个工具,而无需自定义 API 连接。
2.1.2 标准化插件接口 (Standardized Plugin Interfaces)。 为了降低手动连接的复杂性,像 OpenAI ChatGPT 插件(2023 年 11 月引入)[37] 这样的基于插件的接口允许 AI 模型通过标准化的 API 模式(如 OpenAPI)连接外部工具。例如,在 OpenAI 插件生态系统中,像 Zapier 这样的插件允许模型执行预定义的操作,如发送邮件或更新 CRM 记录。然而,这些交互通常是单向的,无法维持状态或协调任务中的多个步骤。新的 LLM 应用商店 [62],如字节跳动的 Coze [4] 和腾讯的元器 [50] 也已出现,为 Web 服务提供插件商店。虽然这些平台扩展了可用的工具选项,但它们创建了孤立的生态系统,其中插件是平台特定的,限制了跨平台的兼容性,并需要重复的维护工作。MCP 的突出之处在于其开源和平台无关的特性,使 AI 应用能够与外部工具进行丰富的双向交互,促进复杂工作流。
2.1.3 AI 代理工具集成 (Al Agent Tool Integration)。 AI 代理框架(如 LangChain [26])和类似的工具编排框架的出现,为模型通过预定义接口调用外部工具提供了一种结构化的方式,提高了自动化和适应性 [55]。然而,集成和维护这些工具在很大程度上仍然是手动的,需要自定义实现,并且随着工具数量的增长,复杂性也随之增加。MCP 通过提供标准化协议,使 AI 代理能够无缝地调用、交互并链接多个工具,而只需通过统一接口,简化了这一过程。这减少了手动配置,增强了任务灵活性,允许代理执行复杂操作,而无需大量自定义集成。
2.1.4 检索增强生成 (RAG) 与向量数据库 (Retrieval-Augmented Generation (RAG) and Vector Database)。 像 RAG 这样的上下文信息检索方法利用基于向量的搜索从数据库或知识库中检索相关知识,使模型能够用最新信息补充响应 [11, 16]。虽然这种方法解决了知识截止的问题并提高了模型准确性,但它仅限于被动的信息检索。它本身并不允许模型执行主动操作,例如修改数据或触发工作流。例如,一个基于 RAG 的系统可以从产品文档数据库中检索相关部分来辅助客户支持 AI。然而,如果 AI 需要更新客户记录或将问题升级给人工支持,除了提供文本响应外,它无法采取行动。MCP 通过使 AI 模型能够主动地与外部数据源和工具交互,超越了被动信息检索,促进了在统一工作流中的检索和行动。
2.2 动机
MCP 因其能够标准化 AI 模型与外部工具交互、获取数据和执行操作的方式,在 AI 社区迅速获得了关注。通过解决手动 API 连接、插件接口和代理框架的局限性,MCP 有潜力重新定义 AI-工具交互,并实现更自主、更智能的代理工作流。尽管其采用日益增长且潜力巨大,MCP 仍处于早期阶段,其生态系统不断发展但尚不完整。许多关键方面,如安全性和工具可发现性,尚未完全解决,为未来的研究和改进留下了充足的空间。此外,虽然 MCP 在行业中迅速获得采用,但在学术界很大程度上仍未被探索。
受此差距的驱动,本文首次分析了当前的 MCP 态势,考察了其新兴的生态系统,并识别了潜在的安全风险。此外,我们勾勒了 MCP 未来发展的愿景,并强调了为支持其长期成功必须解决的关键挑战。
3 MCP 架构
3.1 核心组件
MCP 架构由三个核心组件组成:MCP 主机 (MCP host)、MCP 客户端 (MCP client) 和 MCP 服务器 (MCP server)。这些组件协同工作,以促进 AI 应用、外部工具和数据源之间的无缝通信,确保操作安全且管理得当。如图 2 所示,在一个典型的工作流中,用户向 MCP 客户端发送提示(prompt),客户端分析意图,通过 MCP 服务器选择合适的工具,并调用外部 API 来检索和处理所需信息,最后将结果通知用户。
图 2. MCP 的工作流程。
3.1.1 MCP 主机 (MCP Host)。 MCP 主机是一个 AI 应用,它为执行基于 AI 的任务提供了环境,同时运行 MCP 客户端。它集成了交互式工具和数据,以实现与外部服务的顺畅通信。示例包括用于 AI 辅助内容创作的 Claude Desktop、用于代码补全和软件开发的 AI 驱动 IDE Cursor,以及作为执行复杂任务的自主系统运行的 AI 代理。MCP 主机承载 MCP 客户端,并确保与外部 MCP 服务器的通信。
3.1.2 MCP 客户端 (MCP Client)。 MCP 客户端在主机环境中充当中介,管理 MCP 主机与一个或多个 MCP 服务器之间的通信。它向 MCP 服务器发起请求,查询可用功能,并检索描述服务器能力的响应。这确保了主机与外部工具之间的无缝交互。除了管理请求和响应,MCP 客户端还处理来自 MCP 服务器的通知 (notifications),提供关于任务进展和系统状态的实时更新。它还执行采样 (sampling) 来收集工具使用情况和性能数据,从而实现优化和知情决策。MCP 客户端通过传输层 (transport layer) 与 MCP 服务器通信,促进安全、可靠的数据交换以及主机与外部资源之间的顺畅交互。
3.1.3 MCP 服务器 (MCP Server)。 MCP 服务器使 MCP 主机和客户端能够访问外部系统并执行操作,提供三个核心能力:工具 (tools)、资源 (resources) 和 提示 (prompts)。
- 工具 (Tools):实现外部操作。 工具允许 MCP 服务器调用外部服务和 API,代表 AI 模型执行操作。当客户端请求一个操作时,MCP 服务器识别合适的工具,与服务交互,并返回结果。例如,如果 AI 模型需要实时天气数据或情感分析,MCP 服务器会连接到相关的 API,检索数据,并将其传递给主机。与传统函数调用(需要多个步骤并将调用与执行分开)不同,MCP 服务器的工具通过允许模型根据上下文自主选择和调用合适的工具来简化此过程。一旦配置,这些工具遵循标准化的供给-消费模型,使其模块化、可重用,并易于被其他应用程序访问,从而提高系统效率和灵活性。
- 资源 (Resources):向 AI 模型暴露数据。 资源提供对结构化和非结构化数据集的访问,MCP 服务器可以将其暴露给 AI 模型。这些数据集可能来自本地存储、数据库或云平台。当 AI 模型请求特定数据时,MCP 服务器检索并处理相关信息,使模型能够做出数据驱动的决策。例如,推荐系统可能会访问客户交互日志,或者文档摘要任务可能会查询文本存储库。
- 提示 (Prompts):用于工作流优化的可重用模板。 提示是 MCP 服务器生成和维护的预定义模板和工作流,用于优化 AI 响应并简化重复性任务。它们确保响应的一致性并提高任务执行效率。例如,客户支持聊天机器人可能会使用提示模板来提供统一且准确的响应,而注释任务可能依赖于预定义的提示来保持数据标签的一致性。
3.2 传输层与通信 (Transport Layer and Communication)
传输层确保安全、双向的通信,允许主机环境和外部系统之间进行实时交互和高效的数据交换。传输层管理从客户端发出的初始请求 (initial requests) 的传输、详细说明可用能力的服务器响应的传递,以及保持客户端了解持续更新的通知 (notifications) 的交换。MCP 客户端和 MCP 服务器之间的通信遵循一个结构化过程,从客户端发出初始请求以查询服务器的功能开始。收到请求后,服务器以初始响应 (initial response) 回复,列出客户端可以利用的可用工具、资源和提示。一旦建立连接,系统会维持持续的通知交换,以确保服务器状态的变化或更新能够实时传达回客户端。这种结构化的通信确保了高性能的交互,并使 AI 模型与外部资源保持同步,从而增强了 AI 应用的有效性。
3.3 MCP 服务器生命周期 (MCP Server Lifecycle)
如图 3 所示,MCP 服务器生命周期包括三个关键阶段:创建 (creation)、运行 (operation) 和 更新 (update)。每个阶段定义了确保 MCP 服务器安全高效运行的关键活动,实现了 AI 模型与外部工具、资源和提示之间的无缝交互。
图 3. MCP 服务器组件和生命周期。
3.3.1 MCP 服务器组件 (MCP Server Components)。 MCP 服务器负责管理外部工具、数据源和工作流,为 AI 模型提供高效、安全地执行任务所需的资源。它包含几个确保顺畅有效运行的关键组件。元数据 (Metadata) 包括关于服务器的基本信息,如其名称、版本和描述,允许客户端识别并与合适的服务器交互。配置 (Configuration) 涉及源代码、配置文件和清单(manifest),它们定义了服务器的操作参数、环境设置和安全策略。工具列表 (Tool list) 存储可用工具的目录,详细说明其功能、输入输出格式和访问权限,确保正确的工具管理和安全。资源列表 (Resources list) 管理对外部数据源的访问,包括 Web API、数据库和本地文件,指定允许的端点及其相关权限。最后,提示与模板 (Prompts and Templates) 包括预配置的任务模板和工作流,用于提高 AI 模型执行复杂操作的效率。这些组件共同使 MCP 服务器能够为 AI 驱动的应用提供无缝的工具集成、数据检索和任务编排。
3.3.2 创建阶段 (Creation Phase)。 创建阶段是 MCP 服务器生命周期的初始阶段,在此阶段服务器被注册、配置并准备运行。该阶段涉及三个关键步骤。服务器注册 (Server registration) 为 MCP 服务器分配唯一的名称和身份,允许客户端发现并连接到合适的服务器实例。安装程序部署 (Installer deployment) 涉及安装 MCP 服务器及其相关组件,确保正确的配置文件、源代码和清单就位。代码完整性验证 (Code integrity verification) 验证服务器代码库的完整性,以防止在服务器运行前进行未经授权的修改或篡改。成功完成创建阶段可确保 MCP 服务器准备好处理请求并安全地与外部工具和数据源交互。
3.3.3 运行阶段 (Operation Phase)。 运行阶段是 MCP 服务器主动处理请求、执行工具调用并促进 AI 应用与外部资源之间无缝交互的阶段。工具执行 (Tool execution) 允许 MCP 服务器根据 AI 应用的请求调用合适的工具,确保所选工具执行其预期操作。斜杠命令处理 (Slash command handling) 使服务器能够解释和执行多个命令,包括通过用户界面或 AI 代理发出的命令,同时管理潜在的命令重叠以防止冲突。沙箱机制强制 (Sandbox mechanism enforcement) 确保执行环境被隔离和保护,防止未经授权的访问并降低潜在风险。在整个运行阶段,MCP 服务器维持一个稳定且受控的环境,实现可靠和安全的任务执行。
3.3.4 更新阶段 (Update Phase)。 更新阶段确保 MCP 服务器保持安全、最新,并能够适应不断变化的需求。该阶段包括三个关键任务。授权管理 (Authorization management) 验证更新后的访问权限仍然有效,防止更新后未经授权使用服务器资源。版本控制 (Version control) 维护不同服务器版本之间的一致性,确保新的更新不会引入漏洞或冲突。旧版本管理 (Old version management) 停用或移除过时的版本,以防止攻击者利用先前版本中的已知漏洞。
理解 MCP 服务器生命周期对于识别潜在漏洞和设计有效的安全措施至关重要。每个阶段都引入了独特的挑战,必须仔细应对,以维持 MCP 服务器在动态 AI 环境中的安全性、效率和适应性。
4 CURRENT LANDSCAPE (当前态势)
4.1 生态系统概述 (Ecosystem Overview)
4.1.1 关键采用者 (Key Adopters)。 如表 1 所示,MCP 已在不同领域获得显著关注,表明其在实现无缝 AI-工具交互方面日益重要。值得注意的是,领先的 AI 公司如 Anthropic [2] 和 OpenAI [39] 已集成 MCP 以增强代理能力并改进多步任务执行。这些行业先驱的采用树立了先例,鼓励其他主要参与者跟进。像百度 [31] 这样的中国科技巨头也已将 MCP 纳入其生态系统,突显了该协议在标准化全球市场 AI 工作流方面的潜力。开发者工具和 IDE,包括 Replit [43]、Microsoft Copilot Studio [49]、JetBrains [24] 和 TheiaIDE [52],利用 MCP 来促进代理式工作流并简化跨平台操作。这一趋势表明,将 MCP 嵌入开发者环境以提高生产力并减少手动集成工作的转变。此外,像 Cloudflare [8] 这样的云平台以及像 Block (Square) [47] 和 Stripe [48] 这样的金融服务提供商正在探索 MCP 以改善多租户环境中的安全性、可扩展性和治理。这些行业领导者对 MCP 的广泛采用不仅突显了其日益增长的相关性,也指明了其作为 AI 驱动生态系统中基础层的潜力。随着更多公司将 MCP 集成到其运营中,该协议有望在塑造 AI 工具集成的未来方面发挥核心作用。展望未来,MCP 有望成为 AI 驱动工作流的关键推动者,在各行业推动更安全、可扩展和高效的 AI 生态系统。
表 1. MCP 生态系统采用情况概述。
| 类别 | 公司/产品 | 主要特性或用例 |
|---|---|---|
| AI 模型与框架 | Anthropic (Claude) [2] | 桌面版完全支持 MCP,实现与外部工具的交互。 |
| OpenAI [39] | 在 Agent SDK 和 API 中支持 MCP,实现无缝集成。 | |
| 百度地图 [31] | 使用 MCP 进行 API 集成,以访问地理定位服务。 | |
| Blender MCP [33] | 通过自然语言命令实现 Blender 和 Unity 3D 模型生成。 | |
| 开发者工具 | Replit [43] | 具有 MCP 工具集成的 AI 辅助开发环境。 |
| Microsoft Copilot Studio [49] | 通过基于 MCP 的工具集成扩展 Copilot Studio。 | |
| Sourcegraph Cody [10] | 通过 OpenCTX 实现 MCP 以进行资源集成。 | |
| Codeium [9] | 为编码助手添加 MCP 支持,以促进跨系统任务。 | |
| Cursor [12] | Cursor Composer 中的 MCP 工具集成,实现无缝代码执行。 | |
| Cline [7] | 管理 MCP 工具和服务器的 VS Code 编码代理。 | |
| IDE/编辑器 | Zed [60] | 提供基于 MCP 的斜杠命令和工具集成。 |
| JetBrains [24] | 集成 MCP 以实现基于 IDE 的 AI 工具化。 | |
| Windsurf Editor [14] | 具有 MCP 工具交互的 AI 辅助 IDE。 | |
| TheiaAI/TheiaIDE [52] | 为 AI 驱动的工具启用 MCP 服务器交互。 | |
| Emacs MCP [32] | 通过支持 MCP 工具调用增强 Emacs 中的 AI 功能。 | |
| OpenSumi [40] | 在 IDE 中支持 MCP 工具,并实现无缝的 AI 工具集成。 | |
| 云平台与服务 | Cloudflare [8] | 提供远程 MCP 服务器托管和 OAuth 集成。 |
| Block (Square) [47] | 使用 MCP 提高金融平台数据处理效率。 | |
| Stripe [48] | 通过 MCP 暴露支付 API,实现无缝 AI 集成。 | |
| Web 自动化与数据 | Apify MCP Tester [51] | 使用 SSE 连接任何 MCP 服务器进行 API 测试。 |
| LibreChat [28] | 通过 MCP 集成扩展当前的工具生态系统。 | |
| Goose [21] | 允许构建具有集成 MCP 服务器功能的 AI 代理。 |
4.1.2 社区驱动的 MCP 服务器 (Community-Driven MCP Servers)。 Anthropic 尚未发布官方的 MCP 市场,但充满活力的 MCP 社区通过创建众多独立的服务器集合和平台来填补这一空白。如表 2 所示,像 MCP.so [35]、Glama [20] 和 PulseMCP [15] 这样的平台托管着数千个服务器,允许用户发现和集成各种工具和服务。这些社区驱动的平台通过提供可访问的存储库,让开发者可以发布、管理和共享他们的 MCP 服务器,从而显著加速了 MCP 的采用。像 Dockmaster [34] 和 Toolbase [19] 这样的基于桌面的解决方案进一步增强了本地 MCP 部署能力,使开发者能够在隔离环境中管理和实验服务器。社区驱动的 MCP 服务器生态系统的兴起反映了人们对 MCP 日益增长的热情,并突显了对正式市场的需求。
表 2. MCP 服务器集合和部署模式概述(截至 2025 年 3 月 27 日)。
| 集合 | 作者 | 模式 | # 服务器 | URL |
|---|---|---|---|---|
| MCP.so | mcp.so | 网站 | 4774 | mcp.so |
| Glama | glama.ai | 网站 | 3356 | glama.ai |
| PulseMCP | Antanavicius et al. | 网站 | 3164 | pulsemcp.com |
| Smithery | Henry Mao | 网站 | 2942 | smithery.ai |
| Dockmaster | mcp-dockmaster | 桌面应用 | 517 | mcp-dockmaster.com |
| 官方集合 | Anthropic | GitHub 仓库 | 320 | modelcontextprotocol/servers |
| AiMCP | Hekmon | 网站 | 313 | aimcp.info |
| MCP.run | mcp.run | 网站 | 114 | mcp.run |
| Awesome MCP Servers | Stephen Akinyemi | GitHub 仓库 | 88 | appcypher/mcp-servers |
| mcp-get registry | Michael Latman | 网站 | 59 | mcp-get.com |
| Awesome MCP Servers | wong2 | 网站 | 34 | mcpservers.org |
| OpenTools | opentoolsteam | 网站 | 25 | opentools.com |
| Toolbase | gching | 桌面应用 | 24 | gettoolbase.ai |
| make inference | mkinf | 网站 | 20 | mkinf.io |
| Awesome Crypto MCP Servers | Luke Fan | GitHub 仓库 | 13 | badkk/crypto-mcp-servers |
4.1.3 SDK 和工具 (SDKs and Tools)。 随着社区驱动工具和官方 SDK 的持续增长,MCP 生态系统变得越来越容易访问,允许开发者有效地将 MCP 集成到各种应用和工作流中。官方 SDK 支持多种语言,包括 TypeScript、Python、Java、Kotlin 和 C#,为开发者在不同环境中实现 MCP 提供了通用选项。除了官方 SDK,社区还贡献了众多简化 MCP 服务器开发的框架和实用程序。像 EasyMCP 和 FastMCP 提供了轻量级的基于 TypeScript 的解决方案,用于快速构建 MCP 服务器,而 FastAPI to MCP Auto Generator 则实现了将 FastAPI 端点无缝暴露为 MCP 工具。对于更复杂的场景,Foxy Contexts 提供了一个基于 Golang 的库来构建 MCP 服务器,Higress MCP Server Hosting 则扩展了 API 网关(基于 Envoy)以托管带有 wasm 插件的 MCP 服务器。像 Mintlify、Speakeasy 和 Stainless 这样的服务器生成和管理平台通过自动化 MCP 服务器生成、提供精选的 MCP 服务器列表,并以最少的手动干预实现更快的部署,进一步增强了生态系统。这些平台使组织能够快速创建和管理安全且文档完善的 MCP 服务器。
4.2 用例 (Use Cases)
MCP 已成为 AI 应用与外部工具、API 和系统有效通信的重要工具。通过标准化交互,MCP 简化了复杂的工作流,提高了 AI 驱动应用的效率。下面,我们探讨三个成功集成 MCP 的关键平台(即 OpenAI、Cursor 和 Cloudflare),突显它们各自的用例。
4.2.1 OpenAI:AI 代理和 SDK 中的 MCP 集成。 OpenAI 已采用 MCP 来标准化 AI-工具通信,认识到其增强与外部工具集成的潜力。最近,OpenAI 在其 Agent SDK 中引入了 MCP 支持,使开发者能够创建可与外部工具无缝交互的 AI 代理。在一个典型的工作流中,开发者使用 Agent SDK 定义需要调用外部工具的任务。当 AI 代理遇到诸如从 API 检索数据或查询数据库之类的任务时,SDK 会通过 MCP 服务器路由请求。请求通过 MCP 协议传输,确保正确的格式化和实时响应传递给代理。OpenAI 计划将 MCP 集成到 Responses API 中,这将简化 AI-工具通信,允许像 ChatGPT 这样的 AI 模型无需额外配置即可动态与工具交互。此外,OpenAI 旨在将 MCP 支持扩展到 ChatGPT 桌面应用,通过连接到远程 MCP 服务器,使 AI 助手能够处理各种用户任务,进一步弥合 AI 模型与外部系统之间的差距。
4.2.2 Cursor:使用 MCP 驱动的代码助手增强软件开发。 Cursor 使用 MCP 通过启用能够自动化复杂任务的 AI 驱动代码助手来增强软件开发。借助 MCP,Cursor 允许 AI 代理与外部 API 交互,访问代码仓库,并直接在集成开发环境(IDE)内自动化工作流。当开发者在 IDE 中发出命令时,AI 代理会评估是否需要外部工具。如果需要,代理会向 MCP 服务器发送请求,服务器识别合适的工具并处理任务,例如运行 API 测试、修改文件或分析代码。然后结果返回给代理以供进一步操作。这种集成有助于自动化重复性任务,最大限度地减少错误,并提高整体开发效率。通过简化复杂流程,Cursor 提高了生产力和准确性,使开发者能够毫不费力地执行多步骤操作。
4.2.3 Cloudflare:远程 MCP 服务器托管和可扩展性。 Cloudflare 通过引入远程 MCP 服务器托管,将 MCP 从本地部署模型转变为云托管架构,发挥了关键作用。这种方法消除了本地配置 MCP 服务器的复杂性,允许客户端无缝连接到安全的、云托管的 MCP 服务器。工作流始于 Cloudflare 在可通过经身份验证的 API 调用访问的安全云环境中托管 MCP 服务器。AI 代理使用基于 OAuth 的身份验证向 Cloudflare MCP 服务器发起请求,确保只有授权实体才能访问服务器。一旦通过身份验证,代理就可以通过 MCP 服务器动态调用外部工具和 API,执行数据检索、文档处理或 API 集成等任务。这种方法不仅降低了配置错误的风险,还确保了 AI 驱动的工作流在分布式环境中的无缝执行。此外,Cloudflare 的多租户架构允许多个用户安全地访问和管理他们自己的 MCP 实例,确保隔离并防止数据泄露。因此,Cloudflare 的解决方案通过实现企业级的可扩展性和安全的多设备互操作性,扩展了 MCP 的能力。
OpenAI、Cursor 和 Cloudflare 等平台对 MCP 的采用突显了其灵活性以及在 AI 驱动工作流中日益增长的作用,提高了开发工具、企业应用和云服务的效率、适应性和可扩展性。
5 安全与隐私分析 (SECURITY AND PRIVACY ANALYSIS)
MCP 服务器作为开放且可扩展的平台,在其整个生命周期中引入了各种安全风险。在本节中,我们分析了不同阶段的安全威胁:创建 (creation)、运行 (operation) 和 更新 (update)。MCP 服务器生命周期的每个阶段都提出了独特的挑战,如果未能妥善缓解,可能会危及系统完整性、数据安全和用户隐私。
5.1 创建阶段的安全风险 (Security Risks in the Creation Phase)
MCP 服务器的创建阶段涉及服务器注册、安装程序部署和代码完整性验证。此阶段引入了三个关键风险:名称冲突 (name collision)、安装程序欺骗 (installer spoofing) 和 代码注入/后门 (code injection/backdoor)。
5.1.1 名称冲突 (Name Collision)。 服务器名称冲突发生在恶意实体注册了一个与合法服务器名称相同或极其相似的 MCP 服务器时,从而在安装阶段欺骗用户。由于 MCP 客户端在选择服务器时主要依赖服务器的名称和描述,因此它们容易受到此类冒充攻击。一旦安装了受损服务器,它可能误导 AI 代理和客户端调用恶意服务器,可能暴露敏感数据、执行未经授权的命令或破坏工作流。例如,攻击者可以注册一个名为 mcp-github 的服务器,模仿合法的 github-mcp 服务器,从而拦截和操纵 AI 代理与可信服务之间的敏感交互。尽管 MCP 目前主要在本地环境中运行,但未来在多租户环境中的采用引入了额外的名称冲突风险。在这些场景中,多个组织或用户可能注册名称相似的服务器,缺乏集中的命名控制会增加混淆和冒充攻击的可能性。此外,随着 MCP 市场开始支持公共服务器列表,供应链攻击可能成为一个关键问题,恶意服务器可能会取代合法服务器。为了缓解这些风险,未来的研究可以集中于建立严格的命名空间策略、实施加密服务器验证以及设计基于声誉的信任系统,以确保 MCP 服务器注册的安全。
5.1.2 安装程序欺骗 (Installer Spoofing)。 安装程序欺骗发生在攻击者分发修改过的 MCP 服务器安装程序,在安装过程中引入恶意代码或后门时。每个 MCP 服务器都需要独特的配置,用户必须在本地环境中手动设置,然后客户端才能调用该服务器。这种手动配置过程对技术水平较低的用户构成了障碍,催生了自动化设置过程的非官方自动安装程序 (unofficial auto-installers) 的出现。如表 3 所示,像 Smithery-CLI、mcp-get 和 mcp-installer 这样的工具简化了安装过程,允许用户快速配置 MCP 服务器,而无需处理复杂的服务器设置。
表 3. 非官方 MCP 自动安装程序(截至 2025 年 3 月 27 日)。
| 工具 | 作者 | # Stars | # Servers | URL |
|---|---|---|---|---|
| Smithery CLI | Henry Mao | 170 | 2942 | smithery.ai |
| mcp.run | Dylibso | / | 118 | docs.mcp.run |
| mcp-get | Michael Latman | 318 | 59 | mcp-get.com |
| Toolbase | gching | / | 24 | gettoolbase.ai |
| mcp-installer | Ani Betts | 767 | NL¹ | mcp-installer |
| ¹ 通过与客户端的自然语言交互来安装 MCP 服务器。 |
然而,虽然这些自动安装程序提高了可用性,但它们也通过可能分发受损软件包引入了新的攻击面。由于这些非官方安装程序通常来源于未经验证的存储库或社区驱动的平台,它们可能无意中让用户面临安全风险,例如安装被篡改的服务器或配置错误的环境。攻击者可以利用这些自动安装程序嵌入恶意软件,从而获得未经授权的访问权限、修改系统配置或创建持久性后门。此外,选择一键安装的用户很少会检查底层代码是否存在潜在的安全漏洞,这使得攻击者更容易分发受损版本而不被发现。应对这些挑战需要为 MCP 服务器开发一个标准化的、安全的安装框架,强制执行包完整性检查,并建立基于声誉的信任机制来评估 MCP 生态系统中自动安装程序的信誉。
5.1.3 代码注入/后门 (Code Injection/Backdoor)。 代码注入攻击发生在恶意代码在创建阶段被秘密嵌入 MCP 服务器的代码库中,通常绕过传统的安全检查。它针对服务器的源代码或配置文件,嵌入即使在更新或安全补丁之后仍然存在的隐藏后门。这些后门允许攻击者悄悄地保持对服务器的控制,从而能够执行未经授权的数据泄露、权限提升或命令操纵等操作。代码注入尤其隐蔽,因为它可以通过受损的依赖项、易受攻击的构建管道或对服务器源代码的未经授权修改引入。由于 MCP 服务器通常依赖于社区维护的组件和开源库,确保这些依赖项的完整性至关重要。为了缓解这种风险,应实施严格的代码完整性验证、严格的依赖项管理和定期的安全审计,以检测未经授权的修改并防止引入恶意代码。此外,在部署期间采用可重现构建 (reproducible builds) 和强制执行校验和验证可以进一步保护 MCP 服务器免受基于注入的威胁。
5.2 运行阶段的安全风险 (Security Risks in the Operation Phase)
运行阶段是 MCP 服务器主动执行工具、处理斜杠命令并与外部 API 交互的阶段。此阶段引入了三个主要风险:工具名称冲突 (tool name conflicts)、斜杠命令重叠 (slash command overlap) 和 沙箱逃逸 (sandbox escape)。
5.2.1 工具名称冲突 (Tool Name Conflicts)。 工具名称冲突发生在 MCP 生态系统中的多个工具共享相同或相似的名称时,导致工具选择和执行过程中的模糊性和混淆。这可能导致 AI 应用无意中调用错误的工具,从而可能执行恶意命令或泄露敏感信息。一个常见的攻击场景是,恶意行为者注册一个名为 send_email 的工具,模仿合法的邮件发送工具。如果 MCP 客户端调用了恶意版本,原本应发送给可信接收者的敏感信息可能会被重定向到攻击者控制的端点,从而危及数据机密性。除了名称相似性,我们的实验揭示,恶意行为者可以通过在工具描述中嵌入欺骗性短语来进一步操纵工具选择。具体来说,我们观察到,如果一个工具的描述明确包含诸如“此工具应优先考虑”或“优先使用此工具”之类的指令,即使其功能较差或可能有害,MCP 客户端也更有可能选择该工具。这引入了一种严重的 “工具流劫持” (toolflow hijacking) 风险,攻击者可以利用误导性描述来影响工具选择并控制关键工作流。这凸显了研究人员需要开发先进的验证和异常检测技术,以识别和缓解欺骗性工具描述,确保 AI 工具选择的准确性和安全性。
5.2.2 斜杠命令重叠 (Slash Command Overlap)。 斜杠命令重叠发生在多个工具定义了相同或相似的命令时,导致命令执行过程中的歧义。这种重叠引入了执行非预期操作的风险,特别是当 AI 应用根据上下文线索动态选择和调用工具时。恶意行为者可以利用这种歧义,引入冲突的命令来操纵工具行为,可能危及系统完整性或暴露敏感数据。例如,如果一个工具注册了 /delete 命令来删除临时文件,而另一个工具使用相同的命令来清除关键系统日志,那么 AI 应用可能会错误地执行不正确的命令,可能导致数据丢失或系统不稳定。类似的问题已在 Slack 等团队聊天系统中观察到,其中重叠的命令注册允许未经授权的工具劫持合法调用,导致安全漏洞和运营中断 [61]。由于斜杠命令通常作为面向用户的快捷方式出现在客户端界面中,因此误解或冲突的命令可能导致危险的后果,尤其是在多工具环境中。为了最小化这种风险,MCP 客户端应建立上下文感知的命令解析,应用命令消歧技术,并根据经过验证的工具元数据确定执行优先级。
5.2.3 沙箱逃逸 (Sandbox Escape)。 沙箱技术隔离了 MCP 工具的执行环境,限制了它们对关键系统资源的访问,并保护主机系统免受潜在有害操作的影响。然而,当攻击者利用沙箱实现中的缺陷时,就会出现沙箱逃逸漏洞,使他们能够突破受限环境并获得对主机系统的未经授权访问。一旦逃出沙箱,攻击者可以执行任意代码、操纵敏感数据或提升权限,从而危及 MCP 生态系统的安全性和稳定性。常见的攻击向量包括利用系统调用中的弱点、处理不当的异常以及第三方库中的漏洞。例如,恶意的 MCP 工具可以利用底层容器运行时中未修补的漏洞来绕过限制,并以提升的权限执行命令。类似地,侧信道攻击可能允许攻击者提取敏感数据,破坏沙箱的预期隔离。检查 MCP 环境中的真实沙箱逃逸场景可以为加强沙箱安全性并防止未来利用提供有价值的见解。
5.3 更新阶段的安全风险 (Security Risks in the Update Phase)
更新阶段涉及管理服务器版本、修改配置和调整访问控制。此阶段引入了三个关键风险:更新后权限持久化 (post-update privilege persistence)、易受攻击版本的重新部署 (re-deployment of vulnerable versions) 和 配置漂移 (configuration drift)。
5.3.1 更新后权限持久化 (Post-Update Privilege Persistence)。 更新后权限持久化发生在过时或已撤销的权限在 MCP 服务器更新后仍然保持活动状态,允许先前授权的用户或恶意行为者保留提升的权限。当权限修改(例如 API 密钥撤销或权限更改)在服务器更新后未能正确同步或失效时,就会出现此漏洞。如果这些过时的权限持续存在,攻击者可能会利用它们来维持对敏感资源的未经授权访问或执行恶意操作。例如,在像 GitHub 或 AWS 这样的 API 驱动环境中,当过时的 OAuth 令牌或 IAM 会话令牌在权限撤销后仍然有效时,就观察到了权限持久化。类似地,在 MCP 生态系统中,如果已撤销的 API 密钥或修改后的角色配置在更新后没有立即失效,攻击者可能会继续调用特权操作,从而可能危及系统的完整性。强制执行严格的权限撤销策略,确保障权限更改在所有服务器实例中一致传播,并为 API 密钥和会话令牌实施自动过期机制,对于降低权限持久化的可能性至关重要。对权限修改进行全面的日志记录和审计可以进一步增强可见性,并有助于检测可能表明权限持久性的不一致性。
5.3.2 易受攻击版本的重新部署 (Re-deployment of Vulnerable Versions)。 MCP 服务器是开源的,由个人开发者或社区贡献者维护,缺乏用于审计和强制执行安全更新的集中式平台。用户通常从 GitHub、npm 或 PyPi 等存储库下载 MCP 服务器包并进行本地配置,通常没有正式的审查流程。这种去中心化的模式增加了重新部署易受攻击版本的风险,原因可能是更新延迟、版本回滚或依赖未经验证的包源。当用户更新 MCP 服务器时,他们可能会无意中回滚到较旧的、易受攻击的版本,以解决兼容性问题或维持稳定性。此外,像 mcp-get 和 mcp-installer 这样的非官方自动安装程序(它们简化了服务器安装)可能会默认使用缓存的或过时的版本,使系统暴露于先前已修补的漏洞。由于这些工具通常优先考虑易用性而非安全性,它们可能缺乏版本验证或未能通知用户关键更新。因为 MCP 生态系统中的安全补丁依赖于社区驱动的维护,漏洞披露和补丁可用性之间通常存在延迟。不积极跟踪更新或安全公告的用户可能会在不知不觉中继续使用易受攻击的版本,为攻击者利用已知缺陷创造机会。例如,攻击者可以利用过时的 MCP 服务器来获取未经授权的访问或操纵服务器操作。从研究角度来看,分析 MCP 环境中的版本管理实践可以识别潜在差距,并强调自动化漏洞检测和缓解的需求。另一方面,也迫切需要建立一个官方的包管理系统,该系统具有标准化的 MCP 服务器打包格式和集中的服务器注册表,以促进可用 MCP 服务器的安全发现和验证。
5.3.3 配置漂移 (Configuration Drift)。 配置漂移是指随着时间的推移,系统配置中累积了非预期的更改,偏离了原始的安全基线。这些偏差通常是由于手动调整、被忽略的更新或不同工具或用户所做的冲突修改而产生的。在 MCP 环境中,服务器通常由最终用户在本地配置和维护,这种不一致性可能引入可利用的漏洞并破坏整体安全态势。随着远程 MCP 服务器支持(例如 Cloudflare 托管的 MCP 环境)的出现,配置漂移成为一个更加紧迫的问题。与本地 MCP 部署(配置问题可能只影响单个用户的环境)不同,远程或基于云的 MCP 服务器中的配置漂移会同时影响多个用户或组织。多租户环境中的配置错误可能暴露敏感数据、导致权限提升或无意中授予恶意行为者比预期更广泛的访问权限。解决此问题需要实施自动化的配置验证机制和定期的一致性检查,以确保本地和远程 MCP 环境都遵守安全基线配置。
6 讨论 (DISCUSSION)
6.1 影响 (Implications)
MCP 的快速采用正在改变 AI 应用生态系统,为开发者、用户、MCP 生态系统维护者以及更广泛的 AI 社区带来了新的机遇和挑战,并产生了重大影响。
- 对于开发者: MCP 降低了集成外部工具的复杂性,使得能够创建更通用、更有能力的 AI 代理,可以执行复杂的多步骤任务。通过提供标准化的工具调用接口,MCP 将重点从管理复杂的集成转移到增强代理逻辑和功能上。然而,这种效率的提高伴随着确保 MCP 实现安全、版本控制良好并符合最佳实践的责任。开发者必须保持警惕,维护安全的工具配置,并防止可能使系统暴露于漏洞的潜在配置错误。
- 对于用户: MCP 通过实现 AI 代理与外部工具之间的无缝交互,增强了用户体验,自动化了跨平台(如企业数据管理和物联网集成)的工作流。它减少了手动操作的需求,提高了处理复杂任务的效率。然而,随着 MCP 服务器获得对敏感数据和关键操作的更深层访问权限,用户必须警惕未经验证的工具和配置错误的服务器所带来的风险。粗心的安装或不受信任的来源可能导致数据泄露、未经授权的操作或系统不稳定。
- 对于 MCP 生态系统维护者: MCP 服务器开发和分发的去中心化性质引入了一个碎片化的安全态势。MCP 服务器通常托管在开源平台上,更新和补丁由社区驱动,质量和频率可能参差不齐。没有集中的监督,服务器配置的不一致和过时的版本可能引入潜在的漏洞。随着 MCP 生态系统发展以支持远程托管和多租户环境,维护者必须持续关注与配置漂移、权限持久化和易受攻击版本的重新部署相关的潜在风险。
- 对于更广泛的 AI 社区: MCP 通过跨系统协调、动态工具调用和协作式多代理系统增强了代理工作流,从而开辟了新的可能性。MCP 标准化代理与工具之间交互的能力有潜力加速 AI 在各行业的采用,推动医疗保健、金融和企业自动化等领域的创新。然而,随着 MCP 采用的增长,AI 社区必须解决新兴的伦理和操作问题,例如确保公平和无偏见的工具选择、保护敏感用户数据以及防止 AI 能力的潜在滥用。平衡这些考虑对于确保 MCP 的益处得到广泛分配,同时保持 AI 生态系统内的问责制和信任至关重要。
6.2 挑战 (Challenges)
尽管潜力巨大,MCP 的采用也带来了一系列挑战,需要加以解决以确保其可持续增长和负责任的发展:
- 缺乏集中的安全监督 (Lack of centralized security oversight): 由于 MCP 服务器由独立的开发者和贡献者管理,没有集中的平台来审计、强制执行或验证安全标准。这种去中心化的模式增加了安全实践不一致的可能性,使得难以确保所有 MCP 服务器都遵守安全的开发原则。此外,缺乏统一的 MCP 服务器包管理系统使得安装和维护过程复杂化,增加了部署过时或配置错误版本的可能性。跨不同 MCP 客户端使用非官方安装工具进一步增加了服务器部署的可变性,使得更难维持一致的安全标准。
- 身份验证和授权差距 (Authentication and authorization gaps): MCP 目前缺乏跨不同客户端和服务器管理身份验证和授权的标准化框架。没有统一的机制来验证身份和规范访问,很难强制执行细粒度的权限,尤其是在多个用户和代理可能与同一 MCP 服务器交互的多租户环境中。缺乏强大的身份验证协议增加了未经授权工具调用的风险,并将敏感数据暴露给恶意行为者。此外,不同 MCP 客户端处理用户凭证的不一致性进一步加剧了这些安全挑战,使得难以在不同部署中维持一致的访问控制策略。
- 调试和监控机制不足 (Insufficient debugging and monitoring mechanisms): MCP 缺乏全面的调试和监控机制,使得开发者难以诊断错误、跟踪工具交互并在工具调用期间评估系统行为。由于 MCP 客户端和服务器独立运行,错误处理和日志记录的不一致性可能掩盖关键的安全事件或操作故障。没有强大的监控框架和标准化的日志记录机制,识别异常、预防系统故障和缓解潜在安全事件变得具有挑战性,阻碍了更具弹性的 MCP 生态系统的发展。
- 在多步骤、跨系统工作流中保持一致性 (Maintaining consistency in multi-step, cross-system workflows): MCP 允许 AI 代理通过统一接口调用不同系统上的多个工具来执行多步骤工作流。由于这些系统的分布式特性,确保跨连续工具交互的一致上下文本身就很困难。没有有效的状态管理和错误恢复机制,MCP 可能会传播错误或丢失中间结果,导致工作流不完整或不一致。此外,跨不同平台的动态协调可能引入延迟和冲突,进一步使 MCP 环境内工作流的无缝执行复杂化。
- 多租户环境中的可扩展性挑战 (Scalability challenges in multi-tenant environments): 随着 MCP 发展以支持远程服务器托管和多租户环境,保持一致的性能、安全性和租户隔离变得日益复杂。没有强大的资源管理和租户特定配置策略机制,配置错误可能导致数据泄露、性能问题和权限提升。确保可扩展性和隔离对于 MCP 在企业部署中的可靠性至关重要。
- 在智能环境中嵌入 MCP 的挑战 (Challenges in embedding MCP in smart environments): 将 MCP 集成到智能环境(如智能家居、工业物联网系统或企业自动化平台)中,引入了与实时响应性、互操作性和安全性相关的独特挑战。这些环境中的 MCP 服务器必须处理来自多个传感器和设备的连续数据流,同时保持低延迟响应。此外,确保 AI 代理与异构设备生态系统之间的无缝交互通常需要自定义适配,增加了开发复杂性。智能环境中受损的 MCP 服务器可能导致对关键系统的未经授权控制,威胁到安全和数据完整性。
6.3 对 MCP 利益相关者的建议 (Recommendations for MCP stakeholders)
为了保障 MCP 的长期成功和安全,所有利益相关者,包括 MCP 维护者、开发者、研究人员和最终用户,都应实施最佳实践并积极应对生态系统中不断变化的挑战。
- 对 MCP 维护者的建议: MCP 维护者在建立安全标准、改进版本控制和确保生态系统稳定性方面发挥着关键作用。为了降低安全漏洞的风险,维护者应建立一个正式的包管理系统,强制执行严格的版本控制,并确保只有经过验证的更新分发给用户。此外,引入集中的服务器注册表将使用户能够更安全地发现和验证 MCP 服务器,降低与恶意或配置错误的服务器交互的风险。为了进一步增强安全性,维护者应推广使用加密签名来验证 MCP 包,并鼓励进行定期的安全审计以识别和缓解漏洞。此外,实施安全的沙箱框架有助于防止权限提升并保护主机环境免受恶意工具执行的影响。
- 对开发者的建议: 将 MCP 集成到 AI 应用中的开发者应通过遵守安全编码实践和维护详尽的文档来优先考虑安全性和弹性。强制执行版本管理策略可以防止回滚到易受攻击的版本,而彻底的测试可确保部署前 MCP 集成的可靠性。为了缓解配置漂移,开发者应自动化配置管理并采用基础设施即代码 (IaC) 实践。此外,实施健壮的工具名称验证和消歧技术可以防止导致意外行为的冲突。利用运行时监控和日志记录有助于跟踪工具调用、检测异常并有效缓解威胁。
- 对研究人员的建议: 鉴于 MCP 服务器部署的去中心化性质和不断变化的威胁态势,研究人员应专注于进行系统的安全分析,以发现工具调用、沙箱实现和权限管理中的潜在漏洞。探索增强沙箱安全性、缓解权限持久化和防止配置漂移的技术可以显著加强 MCP 的安全态势。此外,研究人员应研究在去中心化生态系统中进行版本控制和包管理的更有效方法,以降低重新部署易受攻击版本的可能性。研究人员可以通过开发自动化的漏洞检测方法和提出安全的更新管道来帮助 MCP 维护者和开发者领先于新兴威胁。另一个关键的研究领域是探索多工具环境中上下文感知的代理编排。随着 MCP 越来越多地支持多步骤、跨系统的工作流,确保持续的状态一致性并防止工具调用冲突变得至关重要。研究人员可以探索动态状态管理、错误恢复和工作流验证的技术,以确保在复杂环境中的无缝操作。
- 对最终用户的建议: 最终用户应保持对安全风险的警惕,并采取措施保护其环境。他们应优先使用经过验证的 MCP 服务器,并避免使用可能引入漏洞的非官方安装程序。定期更新 MCP 服务器和监控配置更改可以防止配置错误并减少对已知漏洞的暴露。正确配置访问控制策略有助于防止权限提升和未经授权的工具使用。对于依赖远程 MCP 服务器的用户,选择遵循严格安全标准的提供商可以最大限度地降低多租户环境中的风险。提高用户意识并鼓励最佳实践将增强整体安全性和弹性。
7 相关工作 (RELATED WORK)
7.1 LLM 应用中的工具集成 (Tool Integration in LLM Applications)
为 LLM 配备外部工具已成为增强其在现实世界任务中能力的关键范式。这种方法使 LLM 能够超越静态知识的限制,并与外部系统动态交互。最近的研究提出了支持此类集成的框架,重点关注工具表示、选择、调用和推理。Shen 等人 [44] 提供了一份全面的调查,概述了标准的 LLM-工具集成范式,确定了用户意图理解、工具选择和执行规划中的关键挑战。在此基础上,AutoTools [45, 46] 引入了一个自动化框架,可将原始工具文档转换为可执行函数,减少了对手动工程的依赖。EasyTool [59] 通过将多样化且冗长的工具文档提炼为简洁统一的指令,进一步简化了此过程,提高了工具的可用性和效率。从评估的角度来看,已经出现了几个基准测试。ToolSandbox [30] 强调了具有隐式依赖关系的有状态和交互式工具使用,而 UltraTool [23] 则侧重于涉及规划、创建和执行的复杂多步骤任务。这些努力揭示了显著的性能差距,并促使对 LLM 代理能力进行更好的评估。为了改进代理决策和提示质量,AvaTaR [54] 提出了对比推理技术,而 Toolken+[56] 则结合了重排序和拒绝机制以实现更精确的工具使用。此外,一些工作探索了 LLM 不仅作为工具使用者,而且作为工具创建者——ToolMaker[53] 自主地将代码仓库转换为可调用工具,朝着完全自动化的代理迈进。为了统一这个不断扩展的领域,Li [27] 提出了一个分类法,将工具使用与规划和反馈学习一起定位为三个核心代理范式。
随着工具增强型 LLM 的不断发展,缺乏标准化、安全且可扩展的上下文协议已成为关键瓶颈。MCP 凭借其统一跨不同系统工具交互的潜力,有望成为下一代 LLM 应用的基础层,因此对其态势、局限性和风险进行考察至关重要。
7.2 LLM-工具交互中的安全风险 (Security Risks in LLM-Tool Interactions)
将工具使用能力集成到 LLM 代理中显著扩展了它们的功能,但也引入了新的、更严重的安全风险。Fu 等人 [17] 证明,经过混淆的对抗性提示可能导致 LLM 代理滥用工具,从而实现数据泄露和未经授权的命令执行等攻击。这些漏洞尤其令人担忧,因为它们跨模型和模态具有通用性。越来越多的工作开始对这些风险进行分类和分析。Gan 等人 [18] 和 Yu 等人 [58] 提出了跨代理组件和阶段的威胁分类法,而 OWASP 代理安全倡议 [25] 则提供了实用的威胁建模框架。为了支持检测和缓解,Chen 等人 [5] 引入了 AgentGuard,它可以自动发现不安全的工作流并生成安全约束,而 ToolFuzz[36] 则识别由模糊或未指定工具文档引起的故障。在对齐方面,Chen 等人 [6] 提出了 H2A 原则,鼓励 LLM 表现出有帮助性 (helpfulness)、无害性 (harmlessness) 和自主性 (autonomy),并引入了 ToolAlign 数据集来指导更安全的工具使用。Ye 等人 [57] 进一步分析了整个工具使用流程中的安全风险,包括恶意查询、执行误导和不安全的输出。Deng 等人 [13] 强调了更广泛的系统性风险,例如不可预测的输入、环境可变性和不受信任的工具端点。
这些安全威胁可以通过 MCP 的结构化设计得到缓解,但它们也可能在这种新的集成范式下持续存在甚至演变。由于 MCP 简化了 LLM 应用中的工具编排,它同时引入了新的潜在攻击面,值得对其安全影响进行更深入的调查。
8 结论 (CONCLUSION)
本文首次对 MCP 生态系统态势进行了全面分析。我们考察了其架构、核心组件、操作工作流和服务器生命周期阶段。此外,我们探讨了其采用情况、多样性和用例,同时识别了整个创建、运行和更新阶段的潜在安全威胁。我们还强调了与 MCP 采用相关的影响和风险,并为利益相关者提出了可行的建议,以增强安全性和治理。此外,我们概述了未来的研究方向,以应对新兴风险并提高 MCP 的弹性。随着 MCP 在 OpenAI 和 Cloudflare 等行业领导者中持续获得关注,解决这些挑战对于其长期成功以及实现与多样化外部工具和服务的安全高效交互至关重要。
参考文献 (REFERENCES)
60多篇,请参考原文
https://arxiv.org/pdf/2503.23278
[1] ahujasid. 2025. BlenderMCP - Blender Model Context Protocol Integration. https://github.com/ahujasid/blender-mcp.
[2] Anthropic. 2024. For Claude Desktop Users. https://modelcontextprotocol.io/quickstart/user.
… (保留所有参考文献条目) …
[62] Yanjie Zhao, Xinyi Hou, Shenao Wang, and Haoyu Wang. 2024. LLM App Store Analysis: A Vision and Roadmap. CoRR abs/2404.12737 (2024). https://doi.org/10.48550/ARXIV.2404.12737 arXiv:2404.12737
扫一扫
680
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
