Cybersecurity shield and lock on dark background

MCP 安全完全指南:41% 伺服器無認證,你嘅 AI Agent 安全嗎?(2026)

By

最後更新:2026 年 3 月 29 日 | AI Catalyst HK 原創深度分析

518 個官方 MCP 伺服器,214 個完全無認證。60 日內 30+ 個 CVE 漏洞。82% 嘅 MCP 實作存在路徑穿越風險。

如果你正在用 AI Agent 連接外部工具——無論係 Claude、Cursor、還是任何支援 MCP 嘅平台——你嘅系統可能已經暴露喺攻擊面之下。

呢篇文章會用最實際嘅角度,幫你理解 MCP 嘅安全風險、點樣檢查你嘅環境、同埋點樣保護你嘅業務。

目錄

  1. MCP 係乜,點解安全性咁重要?
  2. 2026 年 5 大 MCP 安全威脅
  3. 你嘅 MCP 伺服器安全嗎?實用檢查清單
  4. MCP 安全掃描工具測試
  5. MCP 伺服器開發者安全最佳實踐
  6. 對香港企業嘅實際影響
  7. 常見問題 FAQ
  8. 總結同下一步行動

MCP 係乜,點解安全性咁重要?

MCP(Model Context Protocol,模型上下文協議)係由 Anthropic 喺 2024 年底推出嘅開放標準,目的係統一 AI 模型同外部工具、數據源之間嘅通訊方式。

簡單講,MCP 就好似 AI 世界嘅 USB-C——一個標準接口,令 AI Agent 可以連接任何工具:讀取你嘅 Google Drive、操作你嘅 GitHub、查詢你嘅資料庫、甚至執行系統指令。

截至 2026 年 3 月,MCP 生態已經爆發式增長:

  • 官方註冊伺服器由 90 個增長到 518 個(僅 1 個月內)
  • 2,614 個 MCP 實作被學術研究掃描
  • 主要 AI 平台(Claude、Cursor、Windsurf、Gemini CLI)全部支援
  • 2026 年 3 月 MCP Foundation 基金會正式成立,成為行業標準

但問題嚟喇:增長速度遠遠超過安全基建嘅成熟度。

當你嘅 AI Agent 可以讀寫檔案、執行指令、存取敏感資料嘅時候,任何安全漏洞都可能造成真實嘅商業損失——數據外洩、未經授權嘅操作、甚至系統被完全控制。

2026 年 5 大 MCP 安全威脅

根據我哋對最新安全研究嘅分析,以下係目前最嚴重嘅 5 個 MCP 安全威脅,按風險等級排列。

威脅 1:Prompt Injection 經 MCP Sampling 注入

風險等級:極高 | OWASP LLM Top 10 排名 #1

Prompt Injection(提示注入)一直係 LLM 安全嘅頭號威脅。但喺 MCP 環境入面,呢個攻擊嘅殺傷力被大幅放大。

點解 MCP 令 Prompt Injection 更危險?

傳統嘅 Prompt Injection 最多令 AI 產生錯誤文字輸出。但當 AI Agent 透過 MCP 連接咗實際工具之後,一次成功嘅注入攻擊可以:

  • 觸發自動化操作:刪除檔案、發送 email、修改資料庫
  • 竊取 AI 運算資源:攻擊者可以濫用 MCP Sampling 功能,耗盡你嘅 AI 運算配額
  • 劫持對話:被入侵嘅 MCP 伺服器可以注入持續性指令,竊取後續所有對話數據
  • 隱蔽工具調用:喺用戶唔知情嘅情況下,執行隱藏嘅工具操作同檔案系統操作

Palo Alto Networks Unit 42 嘅研究團隊已經識別出三個關鍵攻擊向量:資源竊取、對話劫持、同隱蔽工具調用。呢啲唔係理論上嘅風險——喺實驗環境已經被成功複製。

實際案例: 2025 年 5 月,研究人員展示咗透過 GitHub MCP 嘅 Prompt Injection 攻擊——攻擊者喺 Pull Request 描述入面嵌入惡意指令,當 AI Agent 讀取 PR 內容時,就會被操控執行未經授權嘅操作。

威脅 2:Tool Poisoning 工具投毒攻擊

風險等級:極高 | 佔所有 MCP 漏洞 20%

Tool Poisoning 係 MCP 獨有嘅攻擊類型。攻擊者透過操控工具嘅元數據或行為描述,欺騙 AI Agent 執行惡意操作。

攻擊原理:

MCP 伺服器可以喺不同 session 之間修改工具定義。呢個「Rug Pull」攻擊利用咗 MCP 工具定義嘅動態特性——一個工具喺你首次批准時可能功能完全正常,但之後喺背後改變行為,而你完全唔會收到通知。

更危險嘅係 Tool Shadowing(工具影子攻擊):

攻擊者創建一個 MCP 伺服器,入面嘅工具描述包含隱藏指令。當 AI Agent 讀取工具描述嘅時候,就會被植入惡意行為——例如將所有操作嘅數據副本偷偷傳送到攻擊者嘅伺服器。

真實事件: 2025 年 4 月發生嘅 WhatsApp Tool Poisoning 攻擊,同 2025 年 9 月嘅 Postmark 供應鏈攻擊,都係 Tool Poisoning 嘅真實案例。Postmark 事件中,攻擊者喺一個 npm package 入面植入後門,導致所有經過被入侵 MCP 伺服器發出嘅 email 都被密送到攻擊者郵箱。

威脅 3:CursorJack 深層連結利用攻擊

風險等級:高 | 影響所有 Cursor IDE 用戶

CursorJack 係由 Proofpoint 威脅研究團隊發現並命名嘅攻擊技術,專門針對 Cursor IDE 嘅 MCP 深層連結(deeplink)機制。

攻擊原理:

Cursor IDE 使用自訂 URL scheme 嚟簡化 MCP 伺服器嘅安裝流程,將配置數據直接嵌入可點擊嘅連結。攻擊者可以製作外觀合法但實際包含惡意配置嘅連結。

兩條攻擊路徑:

  1. command 參數:透過連結嘅 command 參數,直接喺本地執行任意代碼
  2. url 參數:透過 url 參數,安裝一個遠端嘅惡意 MCP 伺服器

只需要用戶點擊一下連結,然後批准安裝對話框,就足以觸發任意指令執行——呢啲指令以用戶嘅權限運行。

另一個相關漏洞 CurXecute(CVE-2025-54136)更加嚴重:透過 MCP Auto-Start 功能,喺 Cursor 啟動時自動執行惡意代碼,甚至唔需要用戶互動。

影響範圍: 所有使用 Cursor IDE 進行 AI 輔助開發嘅開發者。Proofpoint 已經喺 GitHub 發布概念驗證代碼。

威脅 4:SSRF 漏洞(CVE-2026-26118 Azure MCP)

風險等級:高 | CVSS 評分 8.8

2026 年 3 月,Microsoft 修補咗一個影響 Azure MCP Server 嘅嚴重 SSRF(Server-Side Request Forgery,伺服器端請求偽造)漏洞,編號 CVE-2026-26118。

漏洞詳情:

攻擊者可以向 Azure MCP Server 工具提交精心構造嘅輸入——用惡意 URL 取代標準嘅 Azure 資源識別碼。MCP Server 會向該 URL 發出請求,並可能附帶其 Managed Identity Token

攻擊者擷取呢個 token 之後,就可以獲得 MCP Server Managed Identity 嘅所有權限——存取或操作該身份被授權嘅任何 Azure 資源。

關鍵數據:

  • CVSS 評分:8.8(高危)
  • 影響版本:Azure MCP Server Tools 2.0.0-beta.17 之前
  • 攻擊條件:需要對 Azure MCP Server 有一定程度嘅認證存取權
  • 修補方式:更新 Azure MCP Server Tools 至最新版本

更廣泛嘅 SSRF 問題: 根據學術研究,36.7% 嘅 MCP 實作存在 SSRF 風險。呢個唔係個別事件,而係系統性問題。

威脅 5:認證繞過——41% 伺服器無認證

風險等級:高 | 影響 214/518 官方伺服器

2026 年 2 月嘅安全審計揭示咗一個驚人嘅事實:喺 518 個官方 MCP 註冊伺服器中,214 個(41%)喺 MCP 協議層面完全無認證

呢個代表乜嘢?

任何 Agent 或外部實體都可以:

  • 列舉所有可用工具,無需任何憑證
  • 直接調用工具,包括搜尋、刪除、部署、管理員重設等操作
  • 橫向移動到其他連接嘅系統

問題嘅根源:

MCP 規範本身將認證定義為可選而非必須。大部分開發者喺建立 MCP 伺服器時,預設設定就係完全開放。加上 MCP 生態嘅爆發式增長(1 個月內由 90 個增至 518 個伺服器),開發者優先考慮部署速度而非安全性。

額外統計:

漏洞類型 佔比
Exec/Shell Injection 43%
工具相關漏洞 20%
認證繞過 13%
路徑穿越 10%
其他 14%

你嘅 MCP 伺服器安全嗎?實用檢查清單

以下係一份實用嘅安全檢查清單,適用於任何使用 MCP 嘅個人或企業:

基礎安全檢查(5 分鐘)

  • [ ] 認證機制:你嘅 MCP 伺服器是否要求認證?如果係用 stdio 本地傳輸,確認只有授權進程可以連接
  • [ ] 工具權限:列出所有已連接嘅 MCP 工具,檢查每個工具嘅權限範圍。有冇唔需要嘅過度權限?
  • [ ] 傳輸加密:HTTP 傳輸是否使用 TLS?本地通訊是否限制喺 localhost?
  • [ ] 工具描述審查:逐一檢查每個工具嘅描述,有冇隱藏嘅可疑指令?

進階安全檢查(30 分鐘)

  • [ ] OAuth 2.1 實作:如果係 HTTP 傳輸,是否已經實作 OAuth 2.1?Static API Key 唔夠安全
  • [ ] Token 生命週期:Access Token 係咪短期有效?Refresh Token 有冇輪換機制?
  • [ ] Per-Tool Scope:每個工具是否有獨立嘅權限範圍(例如 calendar:reademail:send)?
  • [ ] 輸入驗證:所有用戶輸入是否經過驗證同清理?特別係 URL 參數同檔案路徑
  • [ ] DNS Rebinding 防護:本地 MCP 伺服器有冇針對 DNS Rebinding 攻擊嘅保護?
  • [ ] 日誌同監控:所有工具調用係咪有完整嘅審計日誌?

供應鏈安全檢查

  • [ ] 來源驗證:MCP 伺服器同工具嘅來源可信嗎?係咪來自官方或已驗證嘅發布者?
  • [ ] 版本鎖定:MCP 伺服器配置有冇鎖定特定版本,防止自動更新引入惡意代碼?
  • [ ] 動態定義監控:有冇機制偵測工具定義嘅變更(防止 Rug Pull 攻擊)?
  • [ ] 依賴審查:MCP 伺服器嘅 npm/pip 依賴有冇已知漏洞?

MCP 安全掃描工具測試

目前市面上已經有幾個專門針對 MCP 安全嘅掃描工具,以下係我哋嘅分析:

Snyk Agent Scan(推薦)

類型: 開源安全掃描器
支援平台: Claude、Cursor、Windsurf、Gemini CLI
功能:

  • 自動發現本機上所有 Agent 同 MCP 配置
  • 偵測 15+ 種安全風險:Prompt Injection、Tool Poisoning、Tool Shadowing、Toxic Flows
  • 支援 CLI 掃描模式同企業級背景監控模式
  • Skill Inspector 網站提供免費線上掃描

使用方式:

# 安裝
npm install -g @snyk/agent-scan

# 掃描本機所有 MCP 配置
agent-scan

MCP Server Audit(CSA 項目)

類型: Cloud Security Alliance 旗下嘅開源審計工具
GitHub: ModelContextProtocol-Security/mcpserver-audit
功能:

  • 檢查 MCP 伺服器嘅安全問題
  • 支援發布審計結果到 audit-db 同 vulnerability-db
  • 屬於 Model Context Protocol Security Initiative

MCPTox

類型: 專注 Tool Poisoning 偵測
功能: 監控同標記可疑嘅 Prompt Pattern,偵測工具描述中嘅惡意指令

MindGuard

類型: 行為異常偵測
功能: 監控 MCP 環境中嘅異常行為,實時警報

工具選擇建議

場景 推薦工具
個人開發者快速檢查 Snyk Agent Scan CLI
企業級持續監控 Snyk Agent Scan Background Mode
開源 MCP 伺服器審計 MCP Server Audit
Tool Poisoning 專項偵測 MCPTox

MCP 伺服器開發者安全最佳實踐

如果你正在開發或部署 MCP 伺服器,以下係 2026 年嘅安全最佳實踐:

1. 認證同授權:OAuth 2.1 為標準

2025 年 6 月嘅 MCP 規範修訂確立咗一個關鍵原則:MCP 伺服器應該驗證 Token,而唔係發行 Token。將 Resource Server 同 Authorization Server 分離,係企業部署嘅非談判條件。

具體措施:
– 實作 OAuth 2.1,強制使用 PKCE(2025 年 11 月修訂已列為必須)
– 使用 Client ID Metadata Documents(CIMD)進行客戶端註冊
– Access Token 設定短過期時間(建議 15 分鐘)
– Refresh Token 實行輪換機制

2. 最小權限原則:Per-Tool Scope

唔好畀 Agent 一張無限信用卡。每個工具定義獨立嘅權限範圍:

calendar:read    ← 只讀日曆
email:send       ← 只可以發 email
contacts:delete  ← 刪除聯絡人(高風險,需要額外確認)

每個請求都要強制檢查 scope。

3. 輸入驗證:防止 SSRF 同注入

CVE-2026-26118 嘅教訓好清楚——所有接受用戶輸入嘅工具都必須:

  • 驗證 URL scheme(只允許 https://)
  • 檢查目標地址(阻止內部 IP 範圍:10.x.x.x、172.16-31.x.x、192.168.x.x)
  • 對檔案路徑進行正則化同沙盒限制
  • 使用白名單而非黑名單

4. 工具定義完整性

針對 Rug Pull 同 Tool Poisoning 攻擊:

  • 對工具定義進行雜湊驗證
  • 監控工具描述嘅任何變更,變更時通知用戶
  • 鎖定 MCP 伺服器版本,禁止自動更新

5. 傳輸安全

  • HTTP 傳輸必須使用 TLS 1.3
  • 本地 stdio 傳輸限制進程隔離
  • 實作 DNS Rebinding 防護(驗證 Host header)
  • 防止 Replay 攻擊(使用 nonce 或 timestamp)

6. 日誌同監控

記錄所有嘢:客戶端註冊、用戶同意、Token 發行、工具執行。當出事嘅時候,你需要完整嘅審計軌跡。

將 Agent 視為一等身份(first-class identity)——你需要清楚知道每個 Agent 係邊個、可以做乜、代表邊個操作。影子 AI Agent——擁有未被追蹤嘅存取權限——係 2026 年嘅新型內部威脅。

對香港企業嘅實際影響

香港作為亞洲金融科技中心,AI 應用嘅普及速度極快。以下係 MCP 安全問題對本地企業嘅具體影響:

金融服務業

香港嘅金融機構受 SFC(證監會)同 HKMA(金管局)監管,對數據安全有嚴格要求。如果你嘅 AI Agent 透過 MCP 連接到客戶數據庫或交易系統,任何安全漏洞都可能構成監管違規。

建議: 喺生產環境部署 MCP 之前,進行完整嘅安全審計,並確保符合 HKMA 嘅 Technology Risk Management Guidelines。

中小企業

好多香港中小企正在採用 AI 工具提升效率。常見場景包括用 AI Agent 自動處理 email、管理 CRM、生成報告。呢啲場景通常涉及敏感商業數據。

建議: 即使係用第三方 MCP 伺服器,都要檢查認證機制同權限設定。使用上面嘅檢查清單進行基礎安全評估。

開發團隊

使用 Cursor、Claude Code 等 AI 輔助開發工具嘅團隊,特別需要注意 CursorJack 類型嘅攻擊。開發環境通常有較高嘅系統權限,一旦被入侵,影響範圍極大。

建議:
– 唔好隨便點擊 MCP 伺服器安裝連結
– 定期用 Snyk Agent Scan 掃描開發環境
– 審查所有已安裝嘅 MCP 伺服器來源

合規考慮

香港《個人資料(私隱)條例》要求機構採取合理步驟保護個人資料。如果 AI Agent 透過不安全嘅 MCP 連接存取個人資料,可能違反條例要求。

2026 年嘅趨勢好清楚:AI 安全將成為合規嘅一部分。 提早建立安全框架,好過之後被動應對。

常見問題 FAQ

Q1:我只係用 Claude Desktop 同幾個 MCP 伺服器,需要擔心嗎?

需要。 即使係本地 stdio 傳輸,如果你安裝咗來源不明嘅 MCP 伺服器,佢可能包含 Tool Poisoning 攻擊。建議用 Snyk Agent Scan 掃描你嘅配置,確認所有工具嘅描述同行為正常。另外,定期檢查工具定義有冇被修改(Rug Pull 攻擊)。

Q2:MCP 同傳統 API 比較,安全風險有咩唔同?

最大嘅分別係 AI Agent 嘅自主性。傳統 API 呼叫係由你嘅代碼明確控制嘅——你寫咗乜就做乜。但 MCP 環境入面,AI Agent 會基於自然語言指令自主決定調用邊個工具、點樣組合操作。呢個自主性意味住 Prompt Injection 可以觸發你從未預期嘅工具調用鏈。另外,MCP 嘅動態工具定義機制(工具可以喺 session 之間改變行為)係傳統 API 完全冇嘅風險。

Q3:MCP Foundation 基金會成立之後,安全問題會改善嗎?

會,但需要時間。 2026 年 3 月成立嘅 MCP Foundation 正在推動幾個重要嘅安全改進:OAuth 2.1 標準化、更嚴格嘅伺服器註冊審查、同安全最佳實踐嘅制定。但生態系統嘅安全成熟度需要時間追上增長速度。喺呢個過渡期,企業同個人用戶更加需要主動做好安全防護。

Q4:如果我嘅 MCP 伺服器已經被入侵,我點樣知道?

幾個危險信號:AI Agent 執行咗你冇要求嘅操作、工具嘅行為同描述唔一致、出現異常嘅外部網路連接、Token 被喺非預期嘅位置使用。建議立即:(1) 暫停所有 MCP 連接;(2) 審查工具定義有冇變更;(3) 檢查系統日誌中嘅異常操作;(4) 輪換所有相關憑證同 Token。

Q5:香港有冇專門嘅 MCP 安全服務或合規指引?

截至 2026 年 3 月,香港暫時冇專門針對 MCP 嘅監管指引。但 HKMA 嘅 Technology Risk Management Guidelines 同 PCPD 嘅個人資料保護要求都適用於 AI Agent 場景。建議參考 OWASP LLM Top 10 同 Cloud Security Alliance 嘅 MCP Security Initiative 作為實踐框架。AI Catalyst HK 會持續追蹤呢方面嘅發展。

總結:MCP 安全唔係可選項

MCP 正在快速成為 AI Agent 嘅標準通訊協議。呢個趨勢唔會逆轉——2026 年 3 月 MCP Foundation 嘅成立,標誌住佢已經由一間公司嘅項目升格為行業標準。

但安全問題同樣真實:

  • 41% 官方伺服器無認證
  • 30+ CVE 喺 60 日內被發現
  • 82% 實作有路徑穿越風險
  • 43% 嘅漏洞涉及指令注入
  • 真實嘅供應鏈攻擊已經發生(Postmark 事件)

好消息係,安全工具同最佳實踐正在快速成熟。OAuth 2.1 標準化、Snyk Agent Scan 等工具嘅出現、同 MCP Foundation 嘅安全工作組,都係正面嘅發展。

你今日可以做嘅三件事:

  1. 用 Snyk Agent Scan 掃描 你嘅所有 MCP 配置(5 分鐘)
  2. 對照檢查清單 評估你嘅安全狀態(30 分鐘)
  3. 訂閱 AI Catalyst HK 嘅 AI Pulse 電子報,持續收到 MCP 安全更新同 AI 工具評測

呢篇文章會持續更新。有問題或者想了解更多 MCP 安全嘅具體場景?喺下面留言或者加入我哋嘅 newsletter。

訂閱 AI Pulse 電子報 → 每週收到最新 AI 工具測試、安全分析、同香港 AI 生態更新。免費訂閱,隨時退訂。

AI Catalyst HK 原創內容。轉載請註明出處。

參考資料:
MCP Security Vulnerabilities – Practical DevSecOps
MCP Security 2026: 30 CVEs in 60 Days
41% of Official MCP Servers Lack Authentication – Dev Journal
CursorJack Attack – Infosecurity Magazine
CVE-2026-26118 Azure MCP SSRF – TheHackerWire
MCP Prompt Injection Attack Vectors – Palo Alto Unit 42
Snyk Agent Scan – GitHub
MCP Security Best Practices – Model Context Protocol
Red Hat MCP Security Risks and Controls
MCP Security Vulnerabilities – Marmelab

📚 相關文章

Similar Posts