OWASP ASI03 解析:AI Agent的身份与权限 OWASP ASI03(身份和权限滥用)是OWASP 2026年AI Agent应用Top 10中的第三项,涵盖AI Agent因缺乏独立身份治理而导致的权限滥用、未授权委托或跨边界访问。真实案例包括Asana MCP跨租户绕过(2025年6月)和CVE-2025-49596(MCP Inspector因机制)以及多个MCP服务器继承开发者UID和凭据的重复模式。缓解措施要求独立的代理身份、范围限定的委托以及每次权限转换时的显式授权,而非“代理继承了我的会话,这没问题”。 OWASP ASI03 身份滥用 MCP 权限继承 跨租户 代理安全 zealynx 发布于 2026-06-10 27 0 0
Panda:覆盖整个数据栈的一站式工具 ethPandaOps团队推出了Panda工具,用于简化以太坊观测数据的查询。 Panda MCP 观测性 Clickhouse 以太坊 沙箱执行 EthPandaOps 发布于 2026-06-03 123 0 0
OWASP ASI04 详解:AI代理供应链攻击 OWASP ASI04 是 AI 代理供应链漏洞,涵盖第三方工具、数据源、连接器被攻陷的情况。文章列举了 Postmark npm 木马、mcp-remote OAuth 注入、Anthropic SDK 设计缺陷等真实案例(至少 8 个 NVD CVE)。攻击模式包括连接器冒充、木马更新、配置通道注入、工具目录投毒。MCP 协议因包分发、特权工具、主机身份运行等因素加剧风险。防御措施:固定版本、验证来源、清理配置通道和工具描述符、日志审计。最后提供了审计方法和 FAQ。 OWASP ASI04 MCP 供应链攻击 代理应用安全 工具描述符 连接器 zealynx 发布于 2026-05-13 233 0 0
MCP漏洞2025-2026:16+ CVE与漏洞指数 本文是MCP安全漏洞的权威记录,整理了2025年4月至2026年4月间公开的16起MCP相关安全事件,包括多个严重漏洞(如CVE-2025-49596、CVE-2025-6514等),以及官方SDK的设计缺陷。文章揭示了远程代码执行(RCE)是主要攻击类型,“工具投毒”被OWASP列为标准化威胁。82%的MCP服务器存在路径遍历风险,53%使用静态凭证,1467个服务器暴露在公网。文章还提出了对AI团队的安全建议,包括审计SDK暴露、工具描述、供应链和传输方式。 MCP 安全漏洞 供应链攻击 工具投毒 远程代码执行 OWASP zealynx 发布于 2026-05-09 309 0 0
我们如何让 Trail of Bits 实现 AI 原生化(截至目前) 文章讲述 Trail of Bits 如何把 AI 从“员工自用工具”升级为组织级操作系统:先定义 AI-assisted、AI-augmented、AI-native 三层演进,再针对自我优越偏差、身份威胁、对不完美的容忍度低和不透明感等阻力,建立 AI Handbook、能力成熟度矩阵、黑客松机制、技能仓库、受控插件市场、沙箱与安全默认配置,并把经验沉淀为可复用资产。 AI-native AI成熟度矩阵 智能体 沙箱隔离 MCP 提示注入 Trail of Bits 发布于 2026-04-01 198 0 0
Claude 编码完整教程 本文作者分享了使用 Claude Code 构建复杂系统的经验,强调了在开始之前进行思考的重要性,包括如何构建 CLAUDE.md 文件,限制上下文窗口,编写 Prompt,以及使用 MCP、工具和配置,在Claude卡住时如何处理,构建系统等。作者反复强调清晰的架构和明确的 Prompt 是获得良好输出的关键,并鼓励使用者不断实验和改进系统。 Claude prompt CLAUDE.md 上下文窗口 MCP 自动化 Eyad 发布于 2026-01-11 676 0 1
Codebase Memory:为AI编程助手节省50% Token 文章介绍了Codebase Memory MCP工具,它通过快速构建代码图谱(使用C和tree-sitter)来增强AI编程助手对代码库的理解,替代传统grep+read模式。该工具提供get_architecture、search_graph、trace_path等API,并通过hook机制在grep时自动附加结构信息,减少盲目读取文件,可节省约50% token消耗。文章还提供了安装步骤和作者的使用体验。 代码库索引 代码图谱 MCP grep优化 token节省 AI编程 jasonzhou1993 发布于 2 天前 27 0 0
7天掌握Claude的20个资源与完整学习路线 本文是一份系统学习Claude的完整路线图,包含10个Anthropic官方免费课程(如Claude 101、AI Fluency、MCP等)和14个动手实践指南,分为日常使用、构建器和系统三个层次。作者强调信息收集不等于学习,提供了10天学习计划,帮助用户从零开始掌握Claude的提示工程、技能构建、工作流自动化等核心能力。文章还附有多张速查表,涵盖25种用法、提示技巧、代理术语等,旨在将Claude从聊天工具转变为个人工作系统。 Claude 提示工程 课程 工作流 MCP 学习路径 humzaakhalid 发布于 2026-06-17 30 0 0
使用ADK构建企业级智能体:2026年生产就绪的真实面貌 文章预测2026年AI Agent技术栈的状态,重点介绍Google开源的Agent Development Kit (ADK) 作为生产级框架的普及,以及Model Context Protocol (MCP) 成为集成标准。 AI Agent ADK MCP web3安全 智能体安全 生产部署 ancilartech 发布于 2026-05-27 122 0 0
MCP 服务器密钥管理 本文围绕 MCP Server 的密钥管理展开,指出随着 LLM 与外部工具通过 MCP 连接,服务器往往会同时接触 API Key、数据库凭证等敏感信息,若采用硬编码、长期凭证或缺乏审计与访问控制,容易放大安全风险。文章给出四类实践:避免把密钥写死在代码里;对自定义服务器优先使用短生命周期的动态凭证;对现成 MCP 服务通过 CLI 在运行时注入密钥;并用策略隔离不同服务器的访问范围。整体强调,MCP 的安全底座不只是协议本身,密钥治理才是关键。 MCP 密钥管理 动态凭证 访问控制 审计日志 Infisical infisical 发布于 2025-03-08 105 0 0
Solana的区块构建之战 本文分析了Solana的区块构建竞争格局,重点比较了Jito BAM和Harmonic两种方案。文章指出,BAM在市场结构方面表现更优,但由于自愿采用,效果不一致。Harmonic致力于开源,并改进区块构建设计。MCP通过协议内交易排序来解决根本问题,但需要时间。Solana需要解决协调问题,以保持竞争力。 Solana 区块构建 BAM Harmonic MCP MEV minnus 发布于 2026-02-18 887 0 0
MCP安全检查清单:AI Agent 的 24 项关键检查 本文讨论了模型上下文协议(MCP)服务器的安全风险,指出MCP服务器在迅速普及的同时,安全问题日益突出。文章揭示了MCP服务器中常见的五大安全隐患,包括路径遍历漏洞、命令注入、工具中毒攻击、不安全的凭据以及跨服务器级联攻击,并提供了一份24点安全检查清单,旨在帮助AI团队在部署或开发MCP服务器时避免安全危机。 MCP 安全漏洞 攻击 AI Agent 渗透测试 工具中毒 zealynx 发布于 2026-02-12 904 0 0
什么是MCP以及它如何应用于区块链? Anthropic的 Model Context Protocol (MCP) 旨在为人工智能模型与外部系统交互提供统一标准,类似于AI的“USB-C 端口”。 Model Context Protocol MCP 人工智能 区块链 智能合约 DeFi LimeChain 发布于 2025-05-28 1149 0 0
Rollup.codes 推出 MCP 服务器,以支持 AI 驱动的以太坊 Rollup 分析 Rollup.codes 推出了新的模型上下文协议(MCP)服务器,旨在简化 Rollup 开发,通过 MCP 将 L2 数据直接传递给 AI 代理。开发者可以通过配置 MCP 服务器,使得 AI 工具能够访问并利用 rollup.codes 上的 Rollup 数据,从而更方便地进行 L2 智能合约的开发和调试。 Rollup Layer2 AI 代理 MCP 模型上下文协议 智能合约 LimeChain 发布于 2025-05-30 881 0 0
使用 AI 和 MCP 管理你的区块链基础设施 本文介绍了QuickNode Model Context Protocol (MCP),它允许使用自然语言管理QuickNode环境,包括管理endpoints,监控使用情况,配置安全设置和分析账单数据。文章讲解了如何将MCP与AI助手(如Claude和Cursor)集成,并通过示例展示了如何使用自然语言命令来管理区块链基础设施,从而提高Web3开发效率。 QuickNode MCP AI助手 自然语言 区块链基础设施 Endpoint QuickNode 发布于 2025-07-11 1908 0 0