MCP 服务器正遭受活跃攻击：48% 配置明文存储凭证，云端全面沦陷

结论先行

MCP（Model Context Protocol）已经成为 AI Agent 生态的”USB 接口”——但它的 security model 还停留在 2023 年。TrendAI 的最新研究确认：攻击者正在活跃利用 MCP 服务器漏洞窃取 SSH 密钥和 API 凭证，导致云端环境全面沦陷。这不是”可能”的安全隐患，而是正在进行时的攻击事件。

发生了什么

TrendAI Research 在 5 月 4-5 日发布了一份关于 MCP 服务器安全的深度研究，披露了三个关键发现：

1. 活跃攻击正在进行

攻击者已经构建了完整的攻击生命周期：

• 初始入侵：利用 MCP 服务器的配置漏洞获取初始访问权限
• 凭证提取：从 MCP 配置文件中提取明文存储的 API Key、数据库密码、SSH 密钥
• 横向移动：使用窃取凭证在云环境中横向移动，扩大控制面
• 全面沦陷：最终获得整个云基础设施的控制权

2. 48% 的 MCP 配置明文存储敏感数据

TrendAI 分析了大量 MCP 服务器配置文件，发现：

• 48% 的配置文件以明文形式存储密码和 API Key
• 这些数据可以直接被攻击者读取，无需任何解密
• 攻击者利用这些明文凭证进行凭证窃取和横向移动

3. 每个官方服务器对应 15 个仿冒品

研究还发现，MCP 服务器生态中存在大量仿冒服务器：

• 15:1 的仿冒比例：每一个官方 MCP 服务器，对应约 15 个仿冒版本
• 这些仿冒服务器的唯一目的是窃取 SSH 密钥和其他敏感凭证
• 用户很难区分官方和仿冒服务器——它们使用相似的名字和描述

为什么 MCP 成了安全重灾区

MCP 的设计哲学 vs 安全现实

MCP 协议的设计初衷是”让 AI Agent 连接一切”——数据库、API、文件系统、开发工具。这种开放性是 MCP 成功的核心，但也让它成为了安全攻击的理想目标：

攻击面	风险等级	原因
配置文件明文存储	🔴 极高	48% 的配置未加密，攻击者零成本获取凭证
仿冒服务器泛滥	🔴 极高	15:1 的仿冒比例，用户无法有效区分
Agent 权限过大	🟠 高	AI Agent 通常拥有远超其所需的环境权限
缺乏审计机制	🟠 高	MCP 调用链路缺乏完整的审计日志
无标准化认证	🟡 中	不同 MCP 服务器实现采用不同的认证方式

”AI 时代的 USB 安全”类比

MCP 被称为”AI 的 USB 接口”——这个类比在安全维度上同样成立：

• USB 刚普及时，人们随意插入未知设备，导致大量病毒传播
• 现在 MCP 正处在同样的阶段：Agent 随意连接未知 MCP 服务器
• 历史告诉我们：安全标准和最佳实践通常是在大规模攻击事件后才建立

防御策略：现在就该做的事

立即可执行（今天）

1. 审计所有 MCP 配置文件

   • 搜索 *.json、*.yaml 中的 password、api_key、secret 字段
   • 将所有明文凭证迁移到环境变量或密钥管理服务（Vault、AWS Secrets Manager）

2. 验证 MCP 服务器来源

   • 只使用官方或已知可信的 MCP 服务器
   • 检查服务器包的签名和发布者信息
   • 对比官方仓库的 commit hash

3. 限制 Agent 权限

   • 遵循最小权限原则：Agent 只需要访问其任务所需的数据
   • 使用只读凭证连接数据库和文件系统
   • 为 Agent 创建独立的 IAM 角色/服务账号

短期改进（本周）

4. 实施 MCP 调用审计

   • 记录所有 MCP 工具调用的时间、参数和返回值
   • 设置异常调用模式的告警（如批量读取、异常 IP）

5. 网络隔离

   • 将 MCP 服务器部署在独立的网络段
   • 限制 MCP 服务器只能访问必要的后端服务

中长期规划（本月）

6. 采用标准化认证

   • 推动团队/组织采用统一的 MCP 认证方案
   • 评估 OAuth 2.0 / mTLS 等认证协议在 MCP 中的适用性

7. 安全评估纳入 Agent 开发流程

   • 在 Agent 上线前进行 MCP 配置的安全审查
   • 建立 MCP 服务器的安全基线和合规检查清单

对开发者的行动建议

如果你正在使用 MCP：

• 今天就去检查你的 MCP 配置文件——明文凭证是最容易被利用的攻击面
• 使用 grep -r "api_key\|password\|secret" ~/.config/mcp/ 快速扫描

如果你正在开发 MCP 服务器：

• 默认要求加密存储凭证
• 实现请求速率限制和异常检测
• 提供明确的服务器身份验证机制

如果你在企业环境部署 AI Agent：

• 将 MCP 安全纳入现有的安全审计框架
• 建立 MCP 服务器的白名单机制
• 定期扫描仿冒服务器

格局判断

MCP 安全危机的本质是：AI Agent 生态的基础设施安全没有跟上生态发展的速度。当 9700 万次安装量（MCP 的安装数据）背后是 48% 的明文凭证存储和 15:1 的仿冒比例时，大规模安全事件只是时间问题。

好消息是：行业已经意识到问题。CISA（美国网络安全与基础设施安全局）和 Five Eyes 已经在 5 月发布了 AI Agent 安全指南。但指南到落地之间还有距离——在此之前，每个使用 MCP 的开发者都需要自己承担起安全责任。