MCP Safety Audit: LLMs with the Model Context Protocol Allow Major Security Exploits

为了减少开发成本并实现构成任何生成式人工智能应用的潜在组件之间的无缝集成，模型上下文协议（Model Context Protocol，MCP）（Anthropic, 2024）最近发布并被广泛采用。MCP 是一种开放协议，用于标准化对大型语言模型（LLMs）、数据源和代理工具的 API 调用。通过连接多个 MCP 服务器，每个服务器都定义了一组工具、资源和提示，用户可以定义完全由 LLMs 驱动的自动化工作流。然而，我们发现当前的 MCP 设计对终端用户存在广泛的安全风险。特别是，我们证明了行业领先的 LLMs 可能会被诱导使用 MCP 工具，通过多种攻击手段（如恶意代码执行、远程访问控制和凭证窃取）危及 AI 开发者的系统安全。为积极缓解这些及相关攻击，我们引入了一种安全性审计工具——MCPSafetyScanner，这是首个用于评估任意 MCP 服务器安全性的代理工具。MCPSafetyScanner 使用多个代理模块来：(a) 根据 MCP 服务器的工具和资源自动确定对抗性样本；(b) 基于这些样本搜索相关漏洞及其修复方案；(c) 生成一份详细记录所有发现的安全报告。我们的研究揭示了通用代理工作流中的严重安全问题，同时提供了一种主动工具，在部署前审计 MCP 服务器的安全性并解决检测到的漏洞。 所描述的 MCP 服务器审计工具 MCPSafetyScanner 可免费获取，地址为：https://github.com/johnhalloran321/mcpSafetyScanner

论文试图解决Model Context Protocol (MCP) 中存在的安全风险问题，尤其是如何防止恶意代码执行、远程访问控制和凭证盗窃等攻击。这是一个新问题，因为随着MCP的广泛采用，其潜在的安全隐患逐渐显现。

论文提出了一种名为MCPSafetyScanner的安全审计工具，通过多个代理（agents）自动检测MCP服务器中的漏洞，并生成详细的安全报告。相比现有研究，该工具首次针对MCP协议设计了专门的安全评估框架，能够主动发现并缓解潜在威胁。

实验设计包括对多种行业领先的LLM进行测试，以验证它们是否可能被诱导执行有害操作。研究使用了实际的MCP工具和资源来模拟真实环境下的攻击场景。此外，MCPSafetyScanner已开源，代码托管在GitHub上，方便社区进一步改进和发展。未来值得深入研究的方向包括更精细的漏洞分类以及对动态攻击的实时防御机制。

最近的相关研究包括《Secure Agent Design: A Framework for Evaluating Safety Risks in AI Agents》和《Agent-Driven Security Auditing for Large Language Models》。这些研究主要集中在通用代理的安全设计和大型语言模型的风险评估上，而本论文则专注于MCP协议的具体应用场景及其安全挑战。