MCP漏洞2025-2026：16+ CVE与漏洞指数

TL;DR

• 2025年4月至2026年4月期间，公开披露了16起与MCP相关的安全事件。
• 整个技术栈中至少有14个CVE，其中包括5个CVSS评分≥9.0（严重）的问题，以及多个Anthropic明确拒绝修复的“设计缺陷”问题。
• 2026年4月披露的“AI供应链之母”事件暴露了约7 000个运行官方SDK（Python、TypeScript、Java、Rust）的公共MCP服务器——超过1.5亿次下载继承了相同的缺陷。
• OWASP Agentic应用Top 10将Postmark MCP供应链攻击列为ASI04下MCP冒充的典型案例。
• 82%的MCP服务器使用易受路径遍历攻击的文件操作（Endor Labs）；53%依赖长期有效的静态凭证（Astrix Security）；1 467个MCP服务器现已暴露在公共互联网上——6个月内几乎翻了三倍（Trend Micro）。

随着新的MCP披露事件出现，此索引将持续更新。请收藏它、链接它，并发送给任何认为MCP“默认即可用于生产环境”的人。

为什么存在这个索引

模型上下文协议在2026年5月已满18个月。在此期间，它已成为LLM与外部世界之间的主要接口——也是AI驱动系统的主要攻击面。目前还没有统一的MCP相关漏洞、CVE和披露事件的权威记录，但应该有这样一个记录。

本页面就是这份记录。以下每条条目均来源自官方公告、NVD收录的CVE或知名安全公司的披露。我们将随着新披露事件的出现而更新。

如果你正在运营MCP部署，并且其中一半以上你从未听说过，那么这正是本索引存在的意义。

漏洞时间线

研究人员命名的漏洞（“MCPoison”、“CurXecute”、“EscapeRoute”）并非NVD认可的名称。CVE编号才是权威参考。

漏洞记录揭示的模式

1. 最主要的攻击类型是RCE——而且越来越容易

在16起事件中，至少有9起导致远程代码执行。大多数不需要复杂的利用手段：工具描述中的恶意字符串（CVE-2025-54136）、精心构造的授权端点URL（CVE-2025-6514），或者仅仅是一个未签名的npm包被安装（Postmark、gemini-mcp-tool）。MCP威胁模型假设客户端与服务器之间高度信任，但现实世界的攻击者并不这么想。

2. “工具投毒”现已成为OWASP命名的模式

Invariant Labs在2025年4月的披露中首次提出了工具投毒攻击这一类别。二十个月后，OWASP的Agentic应用Top 10将同样的模式命名为ASI04：Agentic供应链漏洞，并以MCP冒充作为具体示例，同时明确引用Postmark供应链事件作为典型案例。这就是MCP攻击从研究成果升级为标准跟踪威胁的速度。

3. 官方SDK也是攻击面的一部分

2026年4月OX Security的披露（“AI供应链之母”）是迄今为止最重大的MCP安全事件。这不是一个单一的CVE漏洞——而是官方MCP STDIO传输中的一项架构决策，允许配置值直接流入命令执行。Anthropic的回应是：“此行为是设计如此……STDIO执行模型代表了一种安全的默认设置，并且……消毒是开发者的责任。”

当协议作者拒绝修补时，负担完全转移到了运营者身上。如果你运行基于官方SDK的MCP服务器，你有责任加强SDK未提供的安全防护。

4. 供应链风险主导了第二年

自2025年11月以来披露的7起事件中，有5起涉及某种形式的供应链或注册表入侵：被植入木马的npm包（Postmark、gemini-mcp-tool克隆）、易受攻击的构建流水线（Smithery）以及系统性的SDK问题。保护源头已变得与保护运行中的服务器同样重要。

5. CVSS低估了现实世界的严重性

EscapeRoute被评为高危（7.3），而非严重——但现实世界的后果是在配置根目录之外进行任意文件读取和代码执行，通常发生在持有凭证、源代码和活跃会话Token的开发者工作站上。严重性评分量化的是可利用性假设，而非攻击者实际能获得什么。

时间线背后的数字

• 82%的MCP服务器使用易受路径遍历攻击的文件操作——样本来自2 614个实现（Endor Labs）
• 53%的MCP服务器依赖不安全的长期静态凭证——样本来自5 200多个开源服务器（Astrix Security）
• 43%的MCP服务器易受命令注入攻击；22%允许目录遍历（Equixly）
• 1 467个MCP服务器暴露在公共互联网上——6个月内几乎翻了三倍（Trend Micro）
• 官方MCP SDK（Python、TypeScript、Java、Rust）累计下载量超过1.5亿次——每次下载都继承了未修补的STDIO配置到执行行为

这对AI团队意味着什么

现在，MCP攻击面已通过生产环境漏洞、NVD收录的CVE、OWASP标准和安全公司研究得到了经验性记录。将MCP安全视为可稍后解决的问题，已不再有任何站得住脚的理由。

如果你在生产环境中运行MCP服务器，最低限度的应对措施是：

1. 审计你的SDK暴露情况。确定你依赖哪些官方SDK版本，STDIO配置在何处流入执行，以及你是否已实施消毒措施。
2. 审计你的工具描述符。工具描述是你信任边界的一部分。将从外部来源读取的任何字符串视为对抗性输入。
3. 审计你的供应链。使用锁定文件，固定版本，在可能的情况下验证包签名。不要自动更新MCP服务器。
4. 审计你的传输方式。STDIO很方便，但它并非默认安全。SSE因安全原因已被弃用，但仍被数千个组织用于生产环境。
5. 审计你的跨服务器边界。一个被攻陷的MCP服务器可以隐藏或覆盖来自连接到同一Agent上下文的其他受信任服务器的工具。

这些直接对应Zealynx MCP安全清单的24项检查。如果你更希望由第三方完成这项工作，我们的MCP安全审计服务是此清单针对你特定部署的生产级版本。

方法论与更新

本索引的收录标准：

• 公开披露（CVE、厂商公告或安全公司研究文章）
• 与MCP协议、MCP服务器、MCP客户端或相关工具直接相关
• 可通过一手来源验证

排除项：

• 理论性或概念验证性攻击，无生产环境影响
• 非特定于MCP的LLM客户端漏洞
• Zealynx的内部审计发现（这些会报告给客户，而非公开）

本索引每周审查一次。如果你了解到我们应跟踪的披露事件，请通过contact@zealynx.io与我们联系。

参考

• OWASP Top 10 for Agentic Applications（2025年12月）
• AuthZed — MCP漏洞时间线
• OX Security — AI供应链之母
• Invariant Labs — 工具投毒攻击
• Astrix Security — 2025年MCP服务器安全状况
• Equixly — MCP服务器：新的安全噩梦
• Endor Labs — 经典漏洞遇见AI基础设施
• Trend Micro — 关于暴露MCP服务器的更新

关于MCP架构和威胁模型的深入阅读：

• MCP安全指南：AI Agent与MCP服务器的24项检查
• 如何加固MCP服务器以防其成为万能钥匙
• 模型上下文协议 — 术语表

常见问题

1. MCP安全与传统API安全有何不同？

MCP安全与传统API安全不同，因为AI Agent——而非用户——决定调用哪个工具、使用什么参数以及如何解释响应。传统API具有确定性的控制流：客户端选择端点、发送类型化输入、解析类型化响应。MCP服务器将这三项决策全部委托给一个非确定性的LLM，后者基于提示上下文来做出决策，而该上下文可能包含来自Agent接触过的任何文档、文件或第三方工具的对抗性输入。在MCP威胁模型中，每一个经典的控制假设——输入来自经过认证的用户，输出返回给同一用户——都被削弱或颠倒了。

2. MCP漏洞是否已在生产环境中被利用？

是的——至少有14个MCP相关漏洞具有NVD收录的CVE，并公开了概念验证，其中一些已造成实际的生产环境影响。例子包括Anthropic的MCP Inspector未认证RCE（CVE-2025-49596，CVSS 9.4）、mcp-remote OAuth shell注入（CVE-2025-6514，CVSS 9.6）和Flowise CustomMCP RCE（CVE-2025-59528，CVSS 10.0）。2025年9月的Postmark MCP供应链攻击主动从安装了木马npm包的组织中窃取电子邮件内容。这些都不是理论性的。

3. 2026年4月的Anthropic MCP SDK漏洞是什么？

2026年4月的Anthropic MCP SDK漏洞是OX Security披露的一个系统性的STDIO传输缺陷（“AI供应链之母”），其中配置值直接流入用于生成MCP服务器进程的命令行——影响了官方的Python、TypeScript、Java和Rust SDK。Anthropic拒绝修补，声明该行为是设计如此，消毒是开发者的责任。实际影响是：约7 000个公共MCP服务器和超过1.5亿次官方SDK下载都继承了相同的暴露风险，除非运营者添加SDK未提供的消毒措施。

4. 什么是OWASP ASI04（Agentic供应链漏洞）？

OWASP ASI04（Agentic供应链漏洞）是OWASP Agentic应用Top 10中的第4项，于2025年12月9日发布。它涵盖了针对AI Agent的供应链风险：恶意工具、被植入木马的连接器以及在运行时加载的冒充服务。OWASP文档明确使用Postmark MCP事件作为MCP冒充的典型案例，将其确立为标准跟踪的威胁类别，而非一次性的漏洞。ASI04是该框架中十个项目（ASI01–ASI10）之一。

5. 仅内部使用的MCP服务器是否仍有攻击风险？

是的——仅内部使用的MCP服务器仍然易受攻击，因为它们所消费的工具描述符仍然来自外部来源（文档、代码仓库、工单、网页）——而隐藏在任何这些来源中的提示注入可以劫持Agent，而无需跨越网络边界。跨服务器工具隐藏也是一个严格意义上的本地风险：一个被攻陷的内部MCP服务器可以覆盖或冒充同一Agent上下文中来自受信任邻居的工具。Trend Micro统计的1 467个公共互联网服务器只是可见的冰山一角；内部暴露要大得多。

6. MCP漏洞索引多久更新一次？

MCP漏洞索引每周审查一次，一旦通过一手来源——NVD CVE条目、厂商公告或来自Invariant Labs、Oligo Security、OX Security或Cymulate等知名安全公司的研究——确认新的披露事件，就会添加。上面的方法论部分明确列出了收录条件。如果你发现我们遗漏的披露事件，请发送至contact@zealynx.io，我们将在下次审查时添加。

7. 我是否应该因为这些漏洞而停止使用MCP？

不——MCP是LLM与外部工具之间的主要接口，对于当今构建Agentic AI的任何团队来说，回避都不是一个现实的反应。正确的反应是运营纪律：固定SDK版本、将工具描述符视为不可信输入、消毒STDIO传输配置、隔离跨服务器边界，并像审计任何互联网暴露服务一样审计每个部署。24项检查的MCP安全清单将这一点操作化，而OWASP Agentic应用Top 10提供了标准框架。

8. 如何审计我的MCP服务器是否存在漏洞？

要审计MCP服务器是否存在漏洞，请按照24项检查的MCP安全清单进行操作——优先处理直接对应OWASP ASI04的供应链和工具描述符类别，以及与2026年4月Anthropic SDK披露相关的STDIO传输加固。该清单涵盖工具投毒、通过工具响应的提示注入、跨服务器信任利用、认证绕过和OAuth流注入。对于生产级第三方评估，Zealynx的MCP安全审计应用该清单，并针对本索引中记录的模式进行红队测试。

术语表

查看完整术语表 →

• 原文链接： zealynx.io/blogs/mcp-bre...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～