MCP 協議:連接 AI 與工具的橋樑
隨著 AI 代理(AI Agents)的迅速普及,開發者需要一種標準化的協議來讓模型與本地工具進行溝通。Model Context Protocol(MCP)應運而生,旨在成為 AI 代理與工具之間的開放標準,並已獲得 Anthropic、OpenAI 及 Google DeepMind 的廣泛採納。然而,近期研究人員發現該協議在處理 STDIO 傳輸時存在潛在的指令執行風險。
根據 VentureBeat 的報導,研究團隊在審計中發現,MCP 的 STDIO 傳輸模式作為預設連接方式,在接收任何作業系統指令時會直接執行,而缺乏完善的「消毒(sanitization)」或檢查機制。這意味著如果攻擊者能控制傳輸的內容,理論上可以讓受限的 AI 代理執行惡意作業系統級別的指令。
安全與功能之爭
面對安全研究人員的質疑,Anthropic 的觀點引發了業內爭議。該公司在回應中將這種「指令執行」特性視為協議的「功能設計(feature)」而非漏洞,旨在提供開發者高度的彈性。這種主張認為,MCP 的設計目的是允許代理程式直接與本地終端進行互動,若加入過多限制則會削弱其核心價值。
然而,安全專家警告稱,這種將靈活性置於安全性之上的設計,對於在企業級環境中部署 AI 代理的組織來說,存在巨大的隱患。目前全球已有超過 20 萬個 MCP 伺服器部署,若此特性被惡意利用,將造成廣泛的潛在受攻擊面。此舉也促使企業資安團隊重新評估其 AI 代理架構的安全性。
企業 AI 部署的警訊
此次事件凸顯了當前 AI 生態系統在追求快速迭代與功能集成時,往往忽略了基礎建設的資安架構。對於正在考慮採用 AI 代理協助辦公室工作或自動化流程的企業而言,這是重要的提醒:即便是一個標榜為開放標準的協議,也需要經過嚴格的威脅建模(threat modeling)。
資安專家建議,企業在使用 MCP 或類似協議時,不應完全依賴開發者提供的預設安全設置。應在 AI 代理與底層作業系統之間建立「隔離層」,並實行嚴格的最小權限原則,確保 AI 代理僅能存取其必要的工具與數據資源,避免因底層協議缺陷導致整個辦公室網絡遭受攻擊。