模型上下文协议(MCP,Model Context Protocol)作为 AI 系统连接现实世界的关键桥梁,原本旨在解决 AI 模型 “脱离实时场景” 的局限 —— 让 AI 能安全调用本地数据、访问在线服务,例如帮助 Claude 等 AI 助手理解代码修改需求、读取文件内容。然而,JFrog 等机构的安全研究发现,MCP 在实际应用中存在严重的 “提示劫持”(Prompt Hijacking)漏洞,攻击者可利用这一漏洞篡改 AI 系统的通信流程,注入恶意指令,进而引发数据泄露、软件供应链攻击等风险,成为当前 AI 安全领域的重大隐患。
MCP 提示劫持的核心威胁在于,它并非攻击 AI 模型本身,而是针对 AI 系统间通过 MCP 通信的薄弱环节下手,其中以 oatpp-mcp(Oat++ C++ 框架的 MCP 集成组件)的漏洞(CVE-2025-6515)最为典型。该漏洞的根源在于会话管理设计缺陷:正常情况下,MCP 协议要求会话 ID(Session ID)需具备唯一性和加密安全性,以确保通信身份的准确识别;但 oatpp-mcp 系统却将 “会话的计算机内存地址” 作为会话 ID—— 由于计算机为节省资源常会重复使用内存地址,这使得会话 ID 变得可预测。攻击者可通过快速创建并关闭大量会话,记录这些重复出现的内存地址,当真实用户连接时,就有可能获取到攻击者已掌握的 “回收会话 ID”。
一旦拿到有效会话 ID,攻击者便能伪装成真实用户向 MCP 服务器发送恶意请求,而服务器无法区分请求来源,会将含恶意内容的响应反馈给真实用户。例如,当程序员请求 AI 助手推荐 Python 图像处理工具时,AI 本应推荐安全的 Pillow 库,但攻击者可通过劫持会话,让 AI 输出虚假工具 “theBestImageProcessingPackage” 的推荐。若程序员使用该虚假工具,可能导致恶意代码注入,进而影响软件供应链安全;更严重的情况下,攻击者还能借此窃取敏感数据(如代码库、用户信息)或执行未授权命令,且整个过程伪装成 AI 的正常辅助行为,极具隐蔽性。此外,即便部分系统对响应内容有基础校验,攻击者仍可通过 “事件号喷洒攻击”—— 发送大量含常见事件号的消息,直到有一条通过校验 —— 绕过限制,继续操控 AI 行为。
从影响范围来看,所有使用 oatpp-mcp 且启用 HTTP SSE(Server-Sent Events)、并暴露在攻击者可访问网络中的部署,均面临风险。这一漏洞的危害还体现在 “跨场景渗透”:不仅程序员使用的 AI 开发助手可能被劫持,企业内部依赖 MCP 的客服 AI、数据分析 AI 等,若采用存在缺陷的通信组件,都可能成为攻击目标。例如,客服 AI 若被提示劫持,可能向用户推送错误政策信息或泄露客户敏感数据;数据分析 AI 被操控后,可能输出虚假分析结果,影响企业决策。
结合其他安全研究(如 GitHub MCP 服务器漏洞、MCP 十大安全风险等)来看,MCP 提示劫持并非孤立问题,而是 MCP 生态 “重功能、轻安全” 的集中体现。例如,GitHub 的 MCP 集成漏洞中,攻击者通过在公共代码库的议题(Issue)中植入隐藏提示注入载荷,当 AI 代理审查议题时,会被劫持并访问泄露私有代码库数据;而 MCP 的 “工具中毒” 风险中,第三方 MCP 服务器可能被植入恶意指令,进一步放大提示劫持的危害。这些案例共同表明,MCP 的安全漏洞已从 “单一组件问题” 演变为 “生态级风险”,传统针对 AI 模型本身的安全措施(如模型对齐、内容过滤)难以覆盖通信协议层面的威胁。
针对 MCP 提示劫持及类似风险,AI 安全负责人需从 “协议安全、会话管理、客户端防护” 三方面构建防御体系。首先,强化会话管理安全性:要求所有 MCP 服务使用加密强度高、随机生成的会话 ID(至少 128 位熵值),杜绝将内存地址、简单递增数字等可预测信息作为 ID,同时设置会话超时机制,避免长期有效会话被劫持。其次,加强客户端验证能力:客户端程序需严格校验接收的事件,仅接受符合预期 ID 和类型的响应,拒绝来源不明或格式异常的消息,尤其要避免使用简单递增的事件号,防止攻击者通过喷洒攻击绕过校验。最后,引入零信任原则:对 MCP 通信的全流程进行身份验证和权限管控,无论是 AI 模型与 MCP 服务器的交互,还是不同 MCP 服务器间的调用,都需持续验证身份,实施最小权限访问,同时记录完整的通信审计日志,便于及时发现异常行为。
总体而言,MCP 提示劫持揭示了 AI 安全的新挑战 —— 随着 AI 系统通过协议与外部工具、数据深度集成,通信链路已成为攻击的关键突破口。未来,AI 安全防护需从 “模型安全” 扩展至 “全链路安全”,将协议设计、会话管理、权限控制等基础安全措施融入 MCP 生态,才能有效抵御此类新型威胁,保障 AI 系统在便捷调用外部资源的同时,避免沦为攻击者的工具。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/mcp-ti-shi-jie-chi-ai-xi-tong-tong-xin-xie-yi-lou-dong-yin
