MCP（Model Context Protocol）伺服器是用於連接大型語言模型（LLM）與系統、數據源或工具的服務。然而，根據 Knostic 最新掃描，全球約有1,862台MCP伺服器公開曝露於網路上，竟完全未啟用任何身份驗證或存取控制，任何人均可自由列取功能列表及執行命令，存在極高濫用風險。
 

問題與示例揭露

1. Knostic 針對 119 台MCP伺服器測試「tools/list」API，全數均可無需憑證列出所有可調用功能。攻擊者甚至能通過這些伺服器操縱資料庫、雲端服務、郵件、檔案系統，甚至發動資源耗盡的攻擊（Denial‑of‑Wallet）。
2. 這樣的漏洞不僅是技術問題，而是一種通過 AI 擴增未經授權執行環境命令的巨大安全盲點，尤其是以 MMP 伺服器作為水坑或跳板的可能性，令人擔憂。

背後原因與風險分析

1. 身份驗證非強制实作：Anthropic MCP 規範雖提供憑證選項，但未強制執行，因此開發者往往忽略，導致大量伺服器出現「無防護使用」狀態。
2. 部署便利優先，安全性滯後：MCP 的可用性高，導致非資安專業人員也能方便建立伺服器，但他們多半未具備資安經驗，習慣忽略安全設定。
3. Shadow MCP 現象：類似企業內部的「shadow IT」，員工自建MCP服務，卻未通報資安團隊，使組織不自知地開放不受控的程式接口。

潛在濫用場景

1. 任意命令執行：攻擊者可察覺系統內建功能，觸發 shell 指令或刪除資料，如同 RCE 漏洞。
2. 資料竊取或修改：直接存取敏感資料庫或配置檔，可能導致商業資料、憑證、專有模型外洩。
3. 資源濫用與經費攻擊：透過大量任務耗盡雲端資源，導致高額帳單（Denial-of-Wallet）。
4. 跳板攻擊：自MCP伺服器進而入侵應用程式或內部網，造成更深層影響。

防護建議

1. 審查與收斂資產

• 建立 MCP伺服器資產清單，確認部署範圍與責任人。
• 若非必要應對外曝露，建議改為內網限制存取或設定 VPN/防火牆访问控制。

2. 強制身份驗證與授權

• 所有 MCP 功能都應設置 OAuth/OIDC、API Key 或 TLS Mutual validation 等認證機制，阻止未授權存取darkreading.comLinkedIn。
• 嚴格控制 tools/set 執行權限，僅開放必要功能。

3. 加強審計與監控

• 實作呼叫 logs，監控 tools/list、execute 等高風險操作。
• 建立異常訪問警示，如大量或非正常來源請求、自動 error 重試等。

4. 教育提升與政策推行

• 向開發者與 ML 工程師宣導「MCP安全責任」，須以 DevSecOps mindset 為先導。
• 設立「MCP 管控政策」，明訂部署流程與授權管理責任。

5. 定期檢查與滲透測試

• 使用掃描工具定期偵測公開 MCP 伺服器，避免 Shadow MCP 無意外曝露。
• 定期進行滲透模擬，評估 MCP 可被濫用程度。

未來趨勢與安全趨勢