模型上下文协议（Model Context Protocol, MCP）使AI代理和聊天机器人能够连接数据源、工具及其他服务，但若企业部署时未设置适当安全防护，将面临重大风险。

MCP由OpenAI主要竞争对手Anthropic于2024年末创建。该协议为AI模型连接各类数据源和工具提供了标准化方案，其优越性促使OpenAI、三大云服务商及多数主流AI厂商纷纷采纳。

短短数月内，数千个MCP服务器上市，支持AI助手连接企业数据与服务。随着代理式AI（agentic AI）被视为IT未来，MCP及相关协议（ACP、Agent2Agent）在企业中的应用将持续扩大。

但是随着企业全面进军AI的步伐，类似MCP这样的创新应用也带来了显著的风险。

2025年5月工作管理平台Asana发布MCP服务允许AI助手访问"工作图谱"。一个月后，安全研究人员发现漏洞可导致用户越权访问他人数据。同样在5月，Atlassian也发布了MCP服务，而攻击者利用漏洞提交恶意支持工单并获取了特权访问权限。

OWASP在Atlassian事件曝光当日启动"MCP十大风险"项目（截至发稿清单仍为空）。漏洞曝光同期，MCP紧急更新部分修复已知隐患。

该周内，MCP协议紧急发布更新，修复了安全专家长期担忧的部分漏洞。
以下将深入解析MCP协议，并阐述首席信息安全官（CISO）必须了解的风险要点、缓解策略及新兴解决方案，以加固其企业AI代理日益依赖的MCP服务安全。

MCP 是一种 API，但它并非让一个计算机程序以标准化方式与另一个计算机程序通信，而是让 AI 代理或聊天机器人能够与数据库、工具及其他资源进行交互。

过去企业需将数据转为向量数据库，通过RAG（检索增强生成）技术将上下文接入提示词，过程复杂且需定制开发。

开发者仅需在数据库前部署MCP服务，AI代理即可按需直接拉取数据，无需额外编程。Anthropic为Atlassian、PayPal等12家厂商提供预置MCP服务。

OpenAI支持连接Cloudflare、Shopify等11家服务，开发者可通过Responses API接入任意MCP服务器。

所有这些都对相关各方构成了重大风险，但由于该技术极其实用，许多企业仍选择继续推进。

不仅仅是科技公司。制造企业Yageo Group已在考虑部署这项技术，部分工作正通过近期收购的子公司推进。"目前我任职的母公司正在着手完善相关治理体系，"Yageo Group信息安全运营经理Terrick Taylor表示。

但他对数据泄露等安全隐患忧心忡忡——由于各分支机构都在开发大量应用系统，风控工作已力不从心。"再这样下去，我很快就要愁白头了。"

在MCP服务的应用上，个人开发者提升工作效率与企业级生产部署存在本质差异。

Asperitas咨询公司应用转型总监Derek Ashmore建议，企业客户不应仓促采用MCP技术，应待其安全性进一步提升、且主要AI供应商能为其生产环境提供更完善的MCP支持后再做考量。

核心矛盾在于：虽然通过安全部署可消除或缓解部分MCP服务器风险，但另一些风险已深植于MCP协议底层设计中。安全机构Equixly指出，MCP协议规范强制要求URL中包含会话标识符——这直接违背了"不将敏感数据暴露于URL"的安全准则。更严重的是，协议缺乏必要的消息签名与验证机制，导致传输过程中存在消息篡改漏洞。

Equixly首席技术官Alessio Della Piazza在技术博客中警示："MCP服务仍处于安全成熟度爬升阶段，这使其在技术采纳期尤为脆弱。"

最新版MCP协议更新已修复了部分底层设计缺陷。

当前MCP已被归类为OAuth资源服务，这一改进部分解决了Equixly指出的认证漏洞。此外，新增的资源标识符要求可有效阻止攻击者获取访问令牌。

最新协议已强制要求携带协议版本头标识，这将有效解决MCP服务器版本识别混乱问题。

尽管这些更新尚未完全修复安全研究人员发现的所有漏洞，也无法立即修正所有已部署的MCP服务，但它们标志着整个技术社区正朝着正确的安全方向迈进。

对企业用户而言，在部署MCP服务和实施授权流程时，现已形成一套全新的安全实践规范。

若现有措施仍显不足，Anthropic公司更在其支持门户新增了MCP服务建设专项指南，为新建MCP服务的组织提供更全面的安全实践参考。

对于部署第三方MCP服务器的组织机构，网络安全企业CyberArk提出以下专业建议：

• 启用新MCP服务器前，须核验其是否列入MCP GitHub官方发布清单；若未收录，建议先在沙箱环境中试运行。

• 取保MCP纳入威胁建模体系，并贯穿 透测试与红队演练全流程。

• 部署本地MCP服务器，需执行人工代码审计以检测异常与后门，并辅以大语言模型或自动化分析工具扫描代码库，双重验证潜在恶意代码模式。

• 务必选用默认开启"预审模式"的MCP客户端——该模式需在批准前完整显示每个工具调用请求及其输入参数。

深刻理解MCP安全机制将成为企业数字化转型的关键要务，特别是在大规模部署AI智能体时更显其战略价值。

据Gartner研究显示，MCP正崛起为AI集成领域的事实标准——该机构预测到2026年，75%的API网关供应商与50%的iPaaS服务商将原生集成MCP功能模块。

各机构必须警惕第三方MCP服务带来的攻击面扩张及新型供应链风险——这对网络安全管理者而言似曾相识，此类问题实为行业长期痛点。但F5 Networks首席技术官办公室杰出工程师兼技术布道师Lori MacVittie警示：MCP服务器绝非简单的API升级版本，而是堪比从边界安全转向应用安全的基础性范式变革。

"MCP技术正在颠覆所有传统安全范式，"她强调道，"那些我们长期依赖的核心安全假设正在被彻底重构。"

根本原因在于：MCP的核心功能运行于其上下文窗口环境——该场景下MCP服务器与AI智能体采用明文通信机制。这意味着系统存在欺骗与操控的潜在漏洞。"攻击者完全可以声称'我是CEO'，现有机制如何防范此类身份欺诈？"

由于核心组件——AI智能体与大语言模型——具有非确定性特征，整个系统无法确保按设计意图可靠运行。"我认为目前尚未有人真正掌握其正确实现方式，"MacVittie坦言。

这并不意味着当前市场缺乏MCP安全解决方案供应商。以下为部分代表性海外厂商：

• BackSlash安全公司：提供包含数千台MCP服务器的可搜索数据库（附带风险评级），免费MCP风险自评估工具，专业MCP风险管理商业服务。

• Lasso Security：开源MCP网关，支持MCP服务器的配置与生命周期管理，并能净化MCP消息中的敏感信息。

• Invariant Labs: 开源MCP网关，支持MCP服务器的配置及全生命周期管理，可对MCP消息中的敏感信息进行净化处理。

• Pillar Security提供MCP服务器防护服务，包括自动化发现、红队评估和运行时保护。

• 派拓网络(Palo Alto Networks)旗下Cortex Cloud WAAS工具提供MCP协议验证功能，并能检测针对MCP端点的API层攻击。