隨著生成式人工智慧技術的快速演進，AI 系統正由單純的語言生成工具，逐步轉型為具備自主決策與任務執行能力的代理系統（Agentic AI）。在此發展脈絡下，由 Anthropic 提出的 Model Context Protocol（MCP），逐漸成為連接 AI 模型與外部工具、資料來源的重要標準架構。

本報告整合三篇來自 SecurityWeek 的分析，指出 MCP 不僅存在單點漏洞，更具備「系統性風險擴散能力」，可能導致 AI 供應鏈攻擊（AI Supply Chain Attack）規模化發生。攻擊者可透過惡意 MCP server、prompt injection 或工具鏈操控，進一步實現遠端程式碼執行（RCE）、敏感資料外洩，甚至控制整體 AI agent 行為。

MCP 的核心價值，在於使 AI 能夠動態調用外部資源並取得上下文資訊，進而提升其執行複雜任務的能力。然而，近期來自 SecurityWeek 的多篇資安研究顯示，MCP 在設計理念與實務實作上皆存在顯著安全隱憂，其潛在風險已從單點漏洞擴展為具系統性影響的攻擊面，甚至可能演變為新型態的 AI 供應鏈攻擊。

技術架構觀點

MCP 建構了一個由 AI agent、MCP server 以及外部工具資源所組成的互動體系。在此架構中，AI agent 不再僅限於回應使用者問題，而是能依據任務需求，自主選擇並調用 MCP server 所提供的工具與資料來源。此一能力的引入，使 AI 系統具備實質的「行動能力」，例如執行程式、存取資料庫或操作外部系統。

然而，也正因為 MCP 承載了這種高度整合與自動化的功能，其安全風險亦隨之顯著提升。一旦 MCP 層遭到利用或操控，影響將不再侷限於模型輸出錯誤，而可能直接擴及系統層級，導致資料外洩、未授權操作甚至遠端程式碼執行等重大事件。

進一步分析顯示，MCP 的核心問題之一在於其設計上的信任假設。現行架構傾向預設 MCP server 為可信任來源，AI agent 對其所提供的內容與指令缺乏嚴格驗證與隔離機制。在此情境下，攻擊者可透過在 MCP server 中嵌入惡意邏輯，或利用自然語言形式隱藏攻擊指令，誘導 AI agent 執行未經授權的操作。此類風險並非傳統意義上的程式錯誤，而是源於整體信任模型的設計缺陷，亦即所謂的「by-design flaw」。換言之，即使個別漏洞被修補，若信任邊界未被重新定義，整體風險仍將持續存在。

實務層面

相關研究亦揭示多項具體漏洞，包括遠端程式碼執行、敏感資料存取、憑證外洩以及本地檔案系統暴露等。這些問題多半源自於 MCP server 在輸入處理、權限控管與執行環境隔離上的不足。由於 MCP server 在架構中扮演高權限中介角色，其安全性一旦受損，即可能成為攻擊者滲透整體系統的關鍵入口。此現象與過去瀏覽器插件或開源套件的安全風險具有相似性，但 MCP 的特殊之處在於，其所承載的不僅是程式碼執行，更包含 AI 決策流程本身，因此其影響層級更為深遠。

綜合目前已揭露的漏洞類型，可觀察到攻擊模式正呈現明顯轉變。傳統針對模型輸出的攻擊，如 prompt injection，已不再僅限於影響回應內容，而是進一步被用於操控 AI agent 的行為決策，使其主動調用惡意工具或執行危險操作。同時，透過偽裝合法服務的 MCP server，攻擊者亦可在工具執行層發動攻擊，達成程式碼注入或系統控制。此外，藉由污染上下文資料（context poisoning），攻擊者能夠在不被察覺的情況下改變 AI 的推理依據，進而影響其後續決策。整體而言，攻擊焦點已由「輸出操控」提升至「行為控制」，顯示 AI 系統的威脅模型正快速升級。

更值得關注的是，MCP 所形成的生態系具有高度供應鏈特性。在實務應用中，MCP server 往往由第三方開發並透過開源或共享方式流通，且同一服務可能被多個 AI 系統重複使用。此一特性使 MCP 成為類似傳統軟體供應鏈（如套件管理系統）的關鍵節點。一旦某個 MCP server 被植入惡意程式或遭到入侵，其影響將可能透過 AI agent 的自動調用機制迅速擴散至多個系統與組織，形成橫向傳播的攻擊鏈。相較於傳統供應鏈攻擊，MCP 所帶來的風險具有更高的即時性與不可預測性，因為其傳播過程不再依賴人為部署，而是由 AI 自主決策所驅動。

防禦策略與建議

1. 架構層防護

• 建立「零信任（Zero Trust）」MCP 模型
• 嚴格定義工具權限（least privilege）
• 導入 sandbox 執行環境

2. Agent 控制機制

• 限制 agent 可調用工具範圍
• 引入 human-in-the-loop（關鍵操作需人工確認）
• 建立行為審計（audit trail）

3. MCP Server 安全強化

• 驗證來源與簽章（code signing）
• 定期安全掃描
• 禁止未經審核的第三方 server

4. Prompt Injection 防護

• 上下文分離（context isolation）
• 輸入過濾與風險評估
• 模型行為約束（guardrails）

5. 供應鏈治理

• 建立 MCP registry 信任機制
• 分級管理（trusted / untrusted sources）
• 導入 SBOM（Software Bill of Materials）概念至 AI 工具鏈

顧問觀察

MCP 風險之所以快速升高，主要可歸因於數個結構性因素。首先，現行架構對於「工具可信性」的假設已不符合開放生態環境的實際狀況；其次，AI agent 的自主性使其行為難以完全預測與控制，進一步放大了潛在攻擊面；再者，MCP 攻擊多發生於語意與上下文層級，使傳統基於規則或特徵碼的資安防禦手段難以有效應對。此外，在產業快速發展的背景下，MCP 生態系仍缺乏成熟的安全標準與治理機制，使「功能優先於安全」的現象普遍存在。

MCP 作為 AI agent 生態的關鍵基礎設施，正快速推動 AI 從「回答問題」邁向「執行任務」。然而，這種能力也同步引入前所未有的資安風險。

相關報導本顯示，MCP 的問題並非單一漏洞，而是源於其設計邏輯：高信任、高權限與高度自動化，使其成為攻擊者可利用的「放大器」。特別是在供應鏈情境下，一個受污染的 MCP server 即可能影響整個 AI 生態系。

未來，企業在導入 Agentic AI 時，必須重新思考資安策略，從傳統「系統防護」轉向「行為與信任治理」，並將 MCP 納入核心風險管理範疇。

資料來源：

https://www.securityweek.com/by-design-flaw-in-mcp-could-enable-widespread-ai-supply-chain-attacks/
https://www.securityweek.com/anthropic-mcp-server-flaws-lead-to-code-execution-data-exposure/
https://www.securityweek.com/top-25-mcp-vulnerabilities-reveal-how-ai-agents-can-be-exploited/