美国国家安全局发布 AI 底层工具调用协议安全评估报告

模型上下文协议（MCP）核心定义

模型上下文协议（MCP）是由 Anthropic 于 2024 年 11 月开源推出的应用层协议，用于规范 AI 系统各组件之间的消息传递格式与调用模式。其核心功能是在大语言模型、工具服务与用户界面之间建立标准化通信管道。具体运行流程为：模型解读用户意图后，通过 MCP 客户端库将请求转换为协议消息，路由至 MCP 服务器，再由服务器分发至对应工具执行。

该架构的实际应用价值可通过旅行规划场景说明。用户输入简单指令后，AI 助手可自动获取当前位置、查询签证要求、推荐航班并生成完整行程，后台所有数据采集与工具调度任务均由 MCP 完成。目前 AutoGen Studio、Harvey AI、Agentverse、Copilot 等产品已在商业、金融、法律与软件开发领域部署 MCP。

NSA 关注 MCP 的核心原因，在于其扩散速度与安全模型成熟度之间的显著落差。报告开篇明确指出，MCP 的快速扩散已超越其安全模型的发展速度，该判断构成全文分析的基础。

协议层面的结构性缺陷

报告未停留在泛泛的安全强化建议层面，而是对协议设计、实现模式与运营实践中的具体风险开展逐项拆解。

交互模式反转是报告着重强调的首个结构性问题。传统客户端 - 服务器模式中，客户端主动向服务器请求数据；MCP 模式下服务器可反向为连接的客户端执行查询或操作。该模式创造了传统安全模型缺乏对应防御措施的全新攻击路径。

访问控制缺失是更为严重的安全隐患。MCP 协议本身未定义身份与会话绑定机制，认证环节完全由实现者自行决定。多数实现省略了认证流程，已实现认证的版本也普遍缺乏基于角色的权限区分。多个独立的 MCP 服务器可通过共享客户端消息接入同一信息池，大幅提升数据泄露与未验证任务传播的风险。

序列化安全方面，MCP 传输上下文、配置、载荷等结构化对象时，序列化机制普遍缺乏严格验证与模式强制。序列化内容中嵌入的注释或提示词可能引发注入攻击，尤其在反序列化过程未实现代码与文本隔离的场景下。报告将该风险与 OWASP A08/2017 记录的经典反序列化风险对照，同时指出 MCP 作为支持自然语言解析的应用层协议，风险形态已出现延伸。

审批工作流薄弱是另一项核心关切。MCP 官方文档明确承认协议层面无法强制执行安全原则。多数实现仅在初始连接时要求用户授权，MCP 服务器被信任后，其能力与数据访问范围的变更无需再次获得用户同意。初始审批通过的良性服务，可在后续运行中逐步获取敏感资源访问权限，且不会触发任何审查机制。

令牌与会话安全同样存在缺陷。MCP 实现依赖 OAuth 风格的承载令牌（bearer token）进行授权，授权本身为可选环节，核心规范未对令牌生命周期管理提出强制要求，包括刷新、撤销与重用控制。该缺陷为消息重放与会话劫持攻击留下空间。此外，MCP 未直接保证操作幂等性，相关要求交由底层 JSON-RPC 与消息队列规范处理，实践中普遍被忽略。

AI 代理系统引入的新型风险

报告明确区分两类安全问题：传统网络安全原则包括认证、授权、输入验证仍然必要，但无法覆盖全部风险。以 MCP 为核心的代理式 AI 系统，引入了三类既有防御策略难以应对的新型风险。

第一类是动态工具调用风险。代理可在运行时自主调用新工具，攻击面不再由部署阶段确定，而是随运行状态动态变化。第二类是隐式信任关系风险。多代理工作流中，一个代理的输出会被其他代理默认为有效，无需开展显式验证。第三类是上下文共享风险。长期存在或重叠的上下文窗口，可能导致不同任务之间的数据泄露、混合与错位。

上述风险的共同特征是无法作为接口层面的孤立问题处理。报告指出，MCP 系统防护需将代理环境视为连续整体，任何阶段出现的假设错位或细微不一致，都可能在链条中传播叠加，最终形成可被利用的安全漏洞。

已披露的真实攻击案例

报告列举五起已被识别或利用的 MCP 安全事件，将理论风险与实际损害建立对应关系。

工具参数注入事件中，开源 MCP 代理处理未净化的工具参数时泄露敏感服务器数据。由于缺乏上下文验证与日志记录，攻击者可通过合法接口执行任意命令。

工具调用路径混淆事件中，部分 MCP 编排器自动从公共注册表或本地模块解析工具名称，攻击者利用命名冲突或配置操纵诱导系统加载恶意代码。研究显示，MCP 客户端普遍缺乏指定唯一工具标识符与执行严格解析策略的能力。

GitHub MCP 工具无限制仓库访问事件中，GitHub MCP 服务器默认授予用户级全局权限，工具可跨公私仓库获得不受限的读写访问。恶意或被入侵的工具可读取私有仓库敏感内容并发布至公开仓库。

WhatsApp MCP 扩展利用事件中，研究人员演示了恶意 MCP 服务器在用户不知情的情况下窃取 WhatsApp 消息的攻击流程。攻击核心在于 MCP 客户端同时连接恶意与可信服务器，恶意服务器通过操纵工具描述改变客户端行为，且在安装时展示良性指令，第二次使用后才切换为恶意模式。

CVE-2025-49596 远程代码执行漏洞存在于 MCP-Inspector 工具中，攻击者可通过构造恶意消息触发代码执行。该漏洞已在 0.14.1 版本修复，反映出 AI 工具链忽视基础安全卫生时，传统安全问题会以新形式复发。

NSA 官方安全建议框架

报告建议覆盖从项目选择到运行时监控的全生命周期。

项目选择层面，报告指出 MCP 生态中存在大量停止维护的流行服务器，建议组织优先选择具备持续支持的实现版本，对 MCP 服务器项目实施最严格的代码审计，尽可能本地部署维护 MCP 组件，并通过内部 MCP 注册服务实施统一管理。

信任边界设计是建议的核心内容。代理、插件、模型与最终用户应被划分为不同信任区域，各自配置独立的安全控制措施。公开工具仅可用于处理公共数据集，与敏感或受监管信息交互的工具需实施显式控制与隔离。处理私有数据时，应优先选择本地 MCP 服务器实例。动态工具发现作为 MCP 的核心灵活性特征，需与来源验证、授权检查机制配合使用，否则应予以禁用。

参数验证要求超越传统输入验证范畴，扩展至执行环境上下文与配置的全面验证。报告举例说明，MCP 连接的数学解释器大语言模型中，攻击者可能操纵上下文参数触发非预期文件 I/O 行为，即便数学输入输出本身完全合规。来源模糊或用户提供的数据参数转发，应被显式阻止或严格限制。

工具执行沙箱化建议具体到操作系统级别。要求使用 Windows AppContainers、seccomp、AppArmor 或 SELinux 隔离每个工具的执行上下文。MCP 代理进程本身需遵循最小权限原则，运行时显式拒绝所有非必要的文件系统、模型数据与内部网络访问权限。

消息签名与验证方面，MCP 当前仅依赖传输层加密（TLS），协议本身不支持消息完整性验证。报告建议在 JSON 载荷中直接嵌入加密签名，为会话保护添加时间绑定签名，包含过期时间戳与重放保护元数据，并参照 OWASP ASVS V7 会话管理标准，将请求加密绑定到时间与上下文。

输出管道过滤与链式执行监控方面，要求所有工具与模型输出均被视为不可信输入，即便来自已审查组件。过滤措施包括内容长度检查、禁用关键字扫描、速率限制与应用级策略执行。多组件 MCP 管道中，每个工具的输出在传递至下一阶段前，均需完成日志记录与安全检查，识别可能改变下游行为的注入提示或代码元素。

最后，报告建议组织定期扫描本地网络中的开放或脆弱 MCP 服务器，维护所有已部署 MCP 代理与工具的完整清单，包括版本、补丁历史与已知安全问题，并将 MCP 遥测数据整合至现有安全信息与事件管理（SIEM）系统、威胁检测管道与合规仪表板。

几点观察

该报告的核心价值在于以 NSA 官方文件形式完成三项关键工作。首先，将安全研究社区分散的讨论整合为结构化风险全景图，覆盖从协议设计到运营实践的完整链条，附带 25 条可追溯参考文献，包括学术论文、厂商安全博客、MCP 官方文档与 CVE 记录，为组织开展 MCP 风险评估提供标准化起点。

其次，报告明确 MCP 的安全态势高度依赖实现层面的纪律，而非协议层面的保证。安全责任需由每一个实现者与部署者承担，无法通过等待协议更新自动解决。

第三，报告的适用范围明确覆盖国家安全与其他高保证环境，面向组织决策层而非仅技术开发者，传递出高敏感行业需审慎评估 MCP 部署风险的明确信号。

从行业发展视角看，该报告反映了技术领域的普遍模式：协议与框架在功能需求驱动下快速扩散，安全模型在实际部署暴露风险后才逐步完善。MCP 当前面临的安全挑战，与早期 Web 协议、移动应用生态、容器与微服务架构的发展历程具有结构相似性。区别在于，代理式 AI 系统引入的非确定性行为与自主工具调用，超出了传统信息安全实践的覆盖范围，进一步加剧了部署节奏与安全能力之间的矛盾。

报告结尾呼吁实现者、安全研究人员与标准组织开展持续协作，反映出当前 MCP 安全问题的复杂性，没有任何单一主体具备独立解决全部问题的能力。对于已在生产环境部署 MCP 或正在评估部署的组织而言，该报告提供的不是可机械执行的检查清单，而是需结合自身风险承受能力与运营环境持续调整的安全思维框架。

全文完。

历史文章精选：

Maven 智能系统：美军 AI 作战平台的运作逻辑

DARPA 发布 “DISCORD”计划：美国正在把 AI 推向战场决策核心