MCP 在 AI 圈爆紅，資安風險亮紅燈

更新於 04月12日00:09 • 發布於 03月27日17:07 • 手哥 HANDBRO

AI 語言模型 (LLM) 越來越強大，為了讓這些語言模型可以擺脫訓練期間的限制，取得更即時的資訊，Anthropic 在去年推出 MCP (Model Context Protocol) 協定，隨著開發者社群的討論熱度上升，MCP 出現爆炸性成長，不過 MCP 的架構也讓駭客有更多的攻擊機會，可能造成使用者隱私資料外洩，甚至被植入後門。

MCP 是什麼？快速回顧

MCP 提供了以下優點：

標準化介面：MCP 提供一個統一的方式，讓不同的 AI 應用程式或語言模型 (LLM) 能夠與不同的資料來源和工具進行連接，減少為每個資料集或工具撰寫客製化程式碼的需求。
靈活的架構：MCP 採用客戶端-伺服器的架構，主機應用程式（如 AI 助手）可透過 MCP 客戶端連接到多個 MCP 伺服器，這些伺服器各自提供特定的功能，並能安全地存取本地或遠端的資料來源。
增強 AI 助手功能：透過 MCP，AI 助手能直接連接到所需的資訊，提升回應的準確性和執行任務的能力。例如，使用 Claude 桌面應用程式，透過 MCP 可直接連接到 GitHub，快速建立新的儲存庫並提交拉取請求。
能力協商：MCP 允許客戶端和伺服器在通訊開始時確定彼此支援的功能和協定版本，確保系統間的兼容性和最佳性能。
上下文資訊交換：MCP 促進大型語言模型與外部系統之間的上下文資訊雙向交換，使模型能夠在處理使用者請求時動態獲取相關資訊，生成更準確、更相關的回應。

MCP 的資安隱憂

個資外流

由於 MCP 是由 AI 自動根據對話的上下文 (context) 決定要呼叫的工具 (tools)，在對話期間可能發生因為 AI 的誤判或不同解讀，將個資暴露給錯誤的 MCP 伺服器 (Server)，造成個資外洩。

新型態的社交欺騙

AI 會依據 MCP 伺服器的回應產生回應給使用者，惡意的開發人員可能會藉由回應來操縱 AI 行為，誘導使用者輸入他想獲得的資料。

這類的欺騙最有可能發生在一些能夠自動操作系統的工具上，從取得授權資訊、帳號密碼，甚至製造錯誤的交易訊息，都是可能的欺騙方式。

電腦檔案直接遭存取、控制

MCP 提供 stdio 以及 SSE (2025/3/26 版本協定已由 Streamable HTTP 取代) 兩種傳輸方式，其中 stdio 會直接將程式碼下載到使用者的電腦中執行。由於 MCP 可以透過執行 npx 等套件管理工具將程式碼下載到使用者端，若非開發人員，通常不會清楚哪些程式碼被下載到電腦上。

以下範例是常見的 MCP Server 設定，當 MCP 用戶端看到這個設定以後，就會直接去下載對應的程式碼並執行：

{ "mcpServers": { "ABCService": { "command": "npx", "args": [ "-y", "@openabc/mcp-server-abcservice" ] } } }

雖然設定方式非常簡單，不過對駭客來說，這也是千載難逢的機會。

這樣的架構非常適合有心人士將有害程式碼打包在一起，但由於 MCP 並沒有規範執行環境該如何隔離，有害程式完全可以對電腦做任何操作，哪怕是要開後門都完全不費吹灰之力。更令人擔憂的是，下載到自己電腦的 MCP Server 幾乎都有存取網路的行為，就算防火牆、防毒軟體跳出警示，甚至可預期多數人會選擇略過甚至建立例外。

雖然 Anthropic 在 MCP 的官方 Github 上列出很多 MCP 伺服器，不過我們建議大家優先選擇使用官方整合 (Official Integration) 清單內的 MCP Server，社群貢獻的 MCP Server 建議就多觀察一下或挑選可信賴的社群開發的整合。

至於網路上一堆 MCP Server 目錄，大家為了搶量也幾乎沒做任何防護措施，就不建議一般使用者去使用。