報導摘要

隨著企業加速採用人工智慧助理來自動化日常任務，一種新的、高風險的攻擊途徑已浮出水面。資安研究人員最近發現了一個名為 postmark-mcp 的軟體包，這是一個惡意的「模型上下文協定」（Model Context Protocol, MCP）伺服器，專門設計用於竊取組織的敏感資訊。這項發現不僅證實了 AI 應用程式骨幹的資安脆弱性，更對數以萬計使用 MCP 伺服器進行 AI 整合的組織發出了嚴峻的警示。攻擊的成功，歸因於 MCP 工具通常擁有高度權限卻缺乏足夠監管，為網路犯罪份子提供了便利且有效的機密資料竊取管道。

惡意 MCP 伺服器對 AI 基礎設施的威脅解析

一個名為postmark-mcp的軟體包被認為是首個公開記錄的惡意 MCP 伺服器，它會自動向威脅行為者發送與密碼重設、帳戶確認、安全警報、發票和收據相關的電子郵件。數百個組織可能在不知情的情況下透過中毒的模型上下文協定 (MCP) 伺服器將包含密碼、API 金鑰、財務詳細資訊和其他敏感資料的電子郵件直接發送給威脅行為者。

這類攻擊的危險性在於其隱蔽性和資訊的敏感度。MCP 伺服器是 AI 應用程式與外部服務（如電子郵件遞送、資料庫等）溝通的關鍵介面，因此它們能夠接觸到 AI 助理在執行任務時所產生的或需要使用的所有關鍵業務資料。

Koi Security 的研究人員最近在 npm 倉庫中發現一個名為postmark-mcp的軟體包，它偽裝成一個合法工具，允許 AI 助理透過 Postmark 平台自動發送電子郵件。MCP 伺服器允許組織將其 AI 應用程式連接到外部資料和工具。它們可作為一種通用適配器，用於將 AI 工具（例如 Anthropic 的 Claude 或 ChatGPT）與外部資料庫、內容儲存庫和工具整合。例如，惡意程式 postmark-mcp 旨在與 Postmark 的電子郵件遞送服務集成，以便 AI 助理可以自動發送事務性電子郵件，例如與密碼重設、帳戶確認、安全警報、發票和收據相關的電子郵件。這類MCP 工具通常擁有完全權限且幾乎不受監管，這為網路犯罪分子創造了新的便利攻擊途徑。

惡意行為者的目標明確：截取那些由 AI 助理處理或生成的高度敏感事務性電子郵件。這類郵件中充斥著可被立即利用的機密，例如 API 金鑰、密碼重設連結，甚至是客戶的財務收據和發票細節。一旦這些資料被外洩，將導致組織遭受嚴重的資料外洩、帳戶劫持和經濟損失。

MCP 伺服器正迅速成為AI 的骨幹基礎設施。成千上萬的組織已開始使用它們，讓 AI 助理自動執行重複性任務，而無需開發人員為每項服務建立自訂整合。 MCP 伺服器的激增（且通常很少經過審查）已引起人們對該協定本身以及基於該協定的工具進行 更嚴格的網路安全審查。

此事件是對 AI 應用程式安全領域的一次重大喚醒。組織必須立即採取行動，對所有用於 AI 整合的 MCP 伺服器及相關的第三方工具進行嚴格的資安審查和驗證。安全團隊應將重點放在對 MCP 協定的流量監控，確保 AI 助理與外部服務之間的數據傳輸是經過授權和加密的，以防範此類隱蔽的機密資料外洩攻擊。