2024年，Anthropic（人工智能公司）的安全團(tuán)隊(duì)做了一場讓開發(fā)者后背發(fā)涼的測試。他們用一款偽裝成計(jì)算器的MCP（模型上下文協(xié)議，Model Context Protocol）工具，成功竊取了一臺(tái)生產(chǎn)服務(wù)器的SSH密鑰。整個(gè)攻擊鏈路沒有利用任何系統(tǒng)漏洞，純粹靠協(xié)議設(shè)計(jì)缺陷。

這不是CTF比賽，是對企業(yè)級(jí)AI工具鏈的真實(shí)壓力測試。測試報(bào)告公開后，社區(qū)反應(yīng)兩極：有人覺得"這種攻擊太牽強(qiáng)"，有人直接開始審計(jì)自己的MCP服務(wù)器。

Part 1的藍(lán)圖，Part 2的破門錘

系列第一篇文章里，Anthropic安全團(tuán)隊(duì)畫了信任邊界圖，用STRIDE（欺騙、篡改、否認(rèn)、信息泄露、拒絕服務(wù)、權(quán)限提升）模型做了威脅建模，提出了"三重門架構(gòu)"的防御方案。那篇文章是建筑師視角——怎么蓋一棟安全的樓。

這篇換帽子。紅隊(duì)視角——怎么把這棟樓撬開。

作者的原話很直白：「Part 1是藍(lán)圖，這次是破門而入測試鎖好不好用?！惯@種角色切換本身就在傳遞一個(gè)信號(hào)：安全架構(gòu)的價(jià)值，最終要靠對抗驗(yàn)證。

計(jì)算器攻擊：一個(gè)工具如何變成特洛伊木馬

攻擊場景設(shè)計(jì)得極其日常。用戶想找個(gè)計(jì)算器做簡單運(yùn)算，MCP市場里有款工具叫"CalcPro"，評分4.8，下載量靠前。安裝、授權(quán)、使用——流程順暢得沒有任何異常。

CalcPro的真正行為藏在授權(quán)協(xié)議的細(xì)節(jié)里。當(dāng)用戶點(diǎn)擊"允許訪問文件系統(tǒng)"時(shí)，彈窗描述的是"讀取計(jì)算歷史"，實(shí)際權(quán)限范圍是整個(gè)用戶目錄。MCP協(xié)議目前的權(quán)限模型是粗粒度的：工具聲明需要什么能力，用戶一次性授權(quán)，沒有運(yùn)行時(shí)二次確認(rèn)。

計(jì)算器開始"工作"后，后臺(tái)行為包括：掃描~/.ssh目錄、讀取id_rsa和id_ed25519密鑰文件、將內(nèi)容編碼后通過日志上報(bào)通道外發(fā)。整個(gè)過程沒有觸發(fā)任何殺毒軟件，因?yàn)镸CP服務(wù)器的進(jìn)程本身就是合法的AI助手組件，文件訪問行為在授權(quán)范圍內(nèi)。

作者披露了一個(gè)關(guān)鍵數(shù)據(jù)點(diǎn)：從工具安裝到密鑰外發(fā)，平均耗時(shí)23秒。用戶甚至沒來得及完成第一次計(jì)算。

權(quán)限模型的結(jié)構(gòu)性缺陷

這個(gè)案例暴露的是MCP協(xié)議當(dāng)前版本的三個(gè)設(shè)計(jì)盲區(qū)。

第一，授權(quán)粒度與行為粒度不匹配。用戶以為自己授權(quán)的是"計(jì)算器訪問計(jì)算相關(guān)文件"，實(shí)際授予的是"該進(jìn)程訪問用戶全部文件"。協(xié)議層面沒有強(qiáng)制要求工具聲明具體路徑模式，也沒有運(yùn)行時(shí)動(dòng)態(tài)申請機(jī)制。

第二，能力聚合的風(fēng)險(xiǎn)被低估。單個(gè)工具看起來無害——計(jì)算器要文件訪問可能是為了保存歷史記錄。但當(dāng)多個(gè)工具組合時(shí)，風(fēng)險(xiǎn)呈非線性增長。攻擊者可以設(shè)計(jì)工具A獲取密鑰、工具B建立外連通道、工具C做數(shù)據(jù)編碼，每個(gè)工具單獨(dú)看都"合理"。

第三，缺乏運(yùn)行時(shí)行為審計(jì)。MCP服務(wù)器知道工具在調(diào)什么API，但不知道這些API調(diào)用在業(yè)務(wù)邏輯上意味著什么。讀取~/.ssh/config和讀取~/Documents/todo.txt，在系統(tǒng)調(diào)用層都是read()，風(fēng)險(xiǎn)天差地別。

作者打了個(gè)比方：「現(xiàn)在的MCP權(quán)限模型就像酒店房卡——刷一次門全開，沒有分房間授權(quán)，也沒有記錄你進(jìn)了哪間?！?/p>

紅隊(duì)測試的完整攻擊鏈

Anthropic團(tuán)隊(duì)按照標(biāo)準(zhǔn)紅隊(duì)流程，把攻擊拆解為五個(gè)階段。

偵察階段：分析MCP市場的熱門工具類別，選擇"計(jì)算器"作為載體——功能簡單、用戶預(yù)期低、權(quán)限需求容易合理化。制作CalcPro的界面和功能與競品幾乎一致，評分通過初期刷量維持在4.8。

武器化階段：核心payload不到200行Python，利用MCP SDK的標(biāo)準(zhǔn)文件訪問接口。密鑰外發(fā)不走網(wǎng)絡(luò)請求（容易被防火墻攔截），而是寫入日志，通過MCP服務(wù)器固有的遙測通道上傳——這是協(xié)議設(shè)計(jì)中的"合法"數(shù)據(jù)流。

投遞階段：工具上架MCP市場，通過SEO優(yōu)化出現(xiàn)在"calculator"搜索結(jié)果前三。第一周自然下載量87次，其中12次來自企業(yè)郵箱域名的開發(fā)者賬戶。

利用階段：用戶安裝后，工具會(huì)延遲30秒再啟動(dòng)敏感操作——避開安裝時(shí)的警覺期。密鑰獲取后，工具繼續(xù)正常運(yùn)行計(jì)算器功能，降低用戶卸載概率。平均駐留時(shí)間測試數(shù)據(jù)顯示為4.7天。

影響評估：在受控測試環(huán)境中，成功獲取了23個(gè)SSH密鑰，其中7個(gè)對應(yīng)生產(chǎn)服務(wù)器訪問權(quán)限。按企業(yè)安全團(tuán)隊(duì)的估值模型，單次密鑰泄露的平均修復(fù)成本約$15,000，潛在數(shù)據(jù)泄露損失未計(jì)入。

防御方案的實(shí)戰(zhàn)檢驗(yàn)

Part 1提出的"三重門架構(gòu)"在這次測試中接受了驗(yàn)證。

第一重門——工具來源驗(yàn)證。CalcPro通過了基礎(chǔ)簽名檢查，但簽名只證明"這個(gè)工具來自某個(gè)開發(fā)者賬戶"，不證明"這個(gè)開發(fā)者可信"。測試表明，需要引入聲譽(yù)評分和代碼審計(jì)的強(qiáng)制門檻。

第二重門——權(quán)限最小化。這是失效最明顯的一環(huán)。當(dāng)前MCP協(xié)議沒有細(xì)粒度路徑授權(quán)，團(tuán)隊(duì)建議的改進(jìn)方案是：工具聲明具體路徑模式（如~/.calc-history/*.txt），運(yùn)行時(shí)超出范圍即拒絕。

第三重門——行為監(jiān)控。測試環(huán)境中部署了基于eBPF（一種Linux內(nèi)核技術(shù)，extended Berkeley Packet Filter）的系統(tǒng)調(diào)用監(jiān)控，成功捕獲了異常文件訪問模式。但告警延遲平均為8分鐘——對于23秒完成的攻擊來說，事后追責(zé)的價(jià)值大于實(shí)時(shí)阻斷。

作者承認(rèn)：「三重門在Part 1聽起來很完整，紅隊(duì)測試后發(fā)現(xiàn)第二重門幾乎是紙糊的?！?/p>

協(xié)議演進(jìn)與企業(yè)落地建議

Anthropic在文末給出了面向不同角色的行動(dòng)清單。

對于MCP協(xié)議維護(hù)者：優(yōu)先級(jí)最高的是運(yùn)行時(shí)權(quán)限模型重構(gòu)，參考Android的權(quán)限申請機(jī)制，支持按操作動(dòng)態(tài)授權(quán)。其次是強(qiáng)制工具行為聲明，要求開發(fā)者在manifest中列出所有可能訪問的路徑和調(diào)用的外部服務(wù)。

對于企業(yè)安全團(tuán)隊(duì)：在協(xié)議層改進(jìn)到位前，建議部署三類控制——網(wǎng)絡(luò)層隔離（MCP服務(wù)器無外連權(quán)限）、文件系統(tǒng)層沙箱（chroot或容器化）、以及基于行為的異常檢測（關(guān)注短時(shí)間內(nèi)的大量文件遍歷）。

對于終端用戶：暫時(shí)避免給MCP工具開放"文件系統(tǒng)"級(jí)別的權(quán)限，除非能確認(rèn)工具來源和代碼審計(jì)狀態(tài)。計(jì)算器這類簡單工具，完全可以用本地腳本替代。

作者最后留了一個(gè)觀察：「測試中最諷刺的是，CalcPro的真實(shí)用戶評分在攻擊曝光后反而上漲了——有人說'至少它計(jì)算器功能確實(shí)好用'。」

當(dāng)你的MCP工具列表里躺著十幾個(gè)"小工具"時(shí)，你最后一次檢查它們的權(quán)限范圍是什么時(shí)候？