SANS发现49个IP分布式扫描MCP服务器,AI基础设施成安全新靶
内容摘要
核心要点
SANS Internet Storm Center基于14天Apache+ModSecurity日志分析(低流量共享主机)发现:互联网扫描者正系统性地搜寻Model Context Protocol (MCP) 服务器、AI助手配置文件和本地LLM端点。共观察到约200次AI相关请求,49个独立IP发起MCP握手(最分散的攻击手法)。攻击手法包括:POST /mcp发送合法JSON-RPC 2.0 initialize请求(protocolVersion=2025-03-26);GET /.claude/mcp.json、/.cursor/mcp.json、/.vscode/mcp.json、/.mcp/config.json等配置文件;HEAD /.claude/.credentials.json、.config/claude/.credentials.json(HEAD优化带宽);GET /v1/models(OpenAI兼容)和GET /api/tags(Ollama);以及GET /fetch?url=http://metadata.google.internal/...token(SSRF攻击云元数据端点)。关联CVE:CVE-2026-25536 (CVSS 7.1) MCP TypeScript SDK 1.10.0-1.25.3跨客户端数据泄露;CVE-2026-34742 (CVSS 8.1) MCP Go SDK。这些漏洞表明MCP协议实现存在严重安全缺陷,攻击者可通过扫描获取AI凭证和云令牌,标志AI基础设施安全成为新的战场。
重要性说明
此次扫描攻击揭示了MCP协议设计中的根本性安全缺失:协议握手无认证,配置文件路径标准化(/.claude/mcp.json等)使得扫描者可以低成本批量探测。CVE-2026-25536(MCP TypeScript SDK跨客户端数据泄露)和CVE-2026-34742(MCP Go SDK)直接暴露了数据隔离失败的工程短板,攻击者可利用同一MCP服务器在不同AI客户端间窃取数据。SSRF攻击针对云元数据端点(metadata.google.internal)表明,AI助手与云环境集成时,临时令牌泄露可导致横向移动。企业若深度集成Claude、Cursor等AI助手,其凭证文件明文存储(HEAD /.claude/.credentials.json)将成为供应链攻击的突破口。防御重心必须从传统Web安全转向AI配置与凭证的加密存储、MCP端点的网络隔离以及协议层的身份验证,否则AI基础设施将成新的脆弱面。
PRO 决策建议
【厂商】竞争对手(如OpenAI、Google)应抓住此事件,公开对比自身AI API的安全设计优势:OpenAI的function calling要求API密钥认证且无标准化配置文件路径,Google Vertex AI内置IAM和VPC-SC。他们应发布技术白皮书指出MCP协议缺乏认证和加密的先天缺陷,并推出兼容MCP但增加安全层的替代方案,或直接引导客户迁移至自家平台。
【企业】CIO与架构师应立即执行零信任审计:1)对所有MCP服务器强制实施网络隔离(仅允许白名单IP访问);2)配置文件和凭证文件必须加密存储并启用访问审计;3)升级MCP SDK至修复CVE-2026-25536和CVE-2026-34742的版本;4)阻断对外部云元数据端点的出站请求;5)对MCP握手添加API密钥或OAuth认证,阻止未授权探测。
【投资者】此事件验证了AI安全市场的爆发逻辑。应重点关注提供AI配置加密、MCP安全网关、AI供应链防护的初创公司。同时,对Anthropic等深度依赖MCP的平台保持谨慎,其协议安全缺陷可能阻碍企业级采用。长期看,具备内置安全机制的AI基础设施提供商将获得溢价。
觉得这篇分析有用?
每周收到3-5条AI基础设施关键信号 →
💬 评论 (0)