MCP协议的安全风险 - 使用Cursor搭配MCP可能导致SQL数据库在用户不知情的情况下被泄露，攻击者仅需一条看似正常的用户信息即可实现[1] - 这种攻击模式被称为"致命三连"，结合了提示注入、敏感数据访问和信息回传，正在成为AI应用的核心安全挑战[1] - 攻击案例显示，仅需30秒即可通过看似正常的客服工单获取OAuth access token等敏感信息，导致系统控制权暴露[5] MCP协议的快速发展 - 英伟达CEO黄仁勋预测未来企业将由5万名人类员工管理1亿个AI助理，这一场景正迅速成为现实[3] - MCP协议在2024年底发布后迅速普及，2025年初已有超过1,000个MCP服务器上线，GitHub相关项目获得33,000多颗星[3] - 谷歌、OpenAI、微软等科技巨头已将MCP纳入生态体系，支持多种客户端构建庞大的Agent网络[3] 具体攻击案例分析 - Supabase MCP案例中，攻击者通过设计客服工单内容，诱导Cursor Agent自动复制integration_tokens私密表并公开[5][8] - GitHub MCP案例显示，攻击者可通过公开仓库提交包含恶意指令的Issue，诱导LLM Agent泄露私有仓库信息[15][17] - 这些攻击无需提权，直接利用Prompt Injection和MCP自动化通道，绕过传统安全防护机制[11] MCP协议的设计缺陷 - MCP协议最初设计缺乏安全考虑，早期版本假设在本地运行且不涉及认证问题，不适合企业级应用场景[20] - 协议引入HTTP支持后，认证与授权成为难题，OAuth与MCP的设计目标存在根本性冲突[21][22] - 当前MCP规范缺乏细粒度的授权机制，无法有效区分管理员、只读用户等基本角色[24] 行业应对与改进方向 - Anthropic和社区正在优化MCP规范，与微软等安全专家合作采用最新OAuth标准[22] - 需要重新设计授权机制以适应MCP运行环境的变化，特别是云端网页客户端的新场景[24] - 安全专家指出MCP的问题不是代码缺陷，而是整个生态在向通用代理架构演进中必须解决的安全认知刷新[19]