數位轉型下的新興威脅：模型上下文協議 (MCP) 的安全範式轉移

隨著大型語言模型（LLM）的應用日益深化，模型上下文協議（Model Context Protocol, MCP）已迅速成為企業內部整合 LLM 工具與資源的關鍵架構。然而，這種快速擴散的趨勢，正暴露出許多團隊在安全思維上的滯後性。MCP Manager 的執行長 Michael Yaroshefsky 針對 Help Net Security 的訪談中明確指出，將 MCP 錯誤地視為標準 API，是當前組織面臨的最大安全盲點。這種誤解導致了信任模型、治理結構以及身份認證機制的全面性漏洞。由於 LLM 將文本視為指令，MCP 伺服器能夠注入上下文來影響模型的行為，這從根本上改變了傳統的資訊安全邊界與風險評估模型。因此，對於任何應用 MCP 的組織而言，建立一套全新的、針對協議本質特性的安全控制與治理框架，已成為刻不容緩的要務。企業必須認識到，MCP 不僅僅是技術實現，更是一種全新的信任協議，其安全性需要基於其運行時的行為特性進行獨立的設計與考量。

核心安全洞察：信任模型的根本性誤區與協議本質

在本次 Help Net Security 的訪談中， MCP Manager的執行長 Michael Yaroshefsky 探討了模型上下文協議 (MCP) 的信任模型如何造成許多團隊忽略的安全漏洞，以及為何不能將 MCP 視為標準API。他解釋了對 MCP 運行時行為、治理和身分要求的誤解如何導致安全風險。隨著 MCP 在組織中的應用日益廣泛，完善的控制措施和對協議的正確理解變得至關重要。以下訪談重點摘要：

1. MCP 與 API 的差異

• 誤解：許多團隊以為 MCP 與 API 相同。
• 實際情況：API 不會在敏感環境中執行任意不受信任的程式碼，但 MCP會。
• 風險：MCP 伺服器能注入文字影響 LLM 行為，可能導致「rug pull」（伺服器後續注入惡意內容）。
• 版本問題：MCP 無法像 API 一樣固定版本，客戶端每次連線都會接收最新的伺服器內容，增加不確定性。

2. 信任模型的誤區

• 客戶端身份：僅靠動態註冊或 OAuth 不足，需要額外的身份驗證。
• 供應商信任：不能因為是知名 SaaS 供應商就假設伺服器安全。GitHub、Atlassian、Microsoft Copilot 都曾曝露 prompt injection 漏洞。
• 協議本質：MCP 是協議，不是產品，本身不提供身份驗證、稽核或合規保障。

3. 治理盲點

• 缺乏集中管理：許多組織沒有 MCP 伺服器登錄系統，導致「影子 MCP」與「伺服器氾濫」。
• 風險案例：本地 MCP 伺服器可能存取敏感憑證或檔案，若遭漏洞利用，會造成憑證外洩。
• 解決方案：建立 MCP gateway，集中管理伺服器與客戶端，避免影子部署與安全失控。

4. 身份與存取控制挑戰

• 高估簡單性：團隊常低估身份管理與權限邊界的複雜度。
• 企業需求：希望 MCP 能整合既有身份管理系統，並確保每個使用者或 AI agent 有真實身份。
• 最佳實踐：透過 MCP gateway 強化身份管理，避免共用帳號或服務帳號濫用。

5. 未來治理挑戰

5. 最佳實踐趨勢

• MCP gateway 將成為必備工具。
• 政策導向的存取控制（Policy-based Access Control）會成為標準。
• 越來越多企業會將 MCP 伺服器部署在自家雲端，而非本地或外部環境。

從架構到執行：MCP 與傳統 API 的行為差異深度剖析

MCP 與 API 之間的差異遠超乎表面的相似性，這體現在其運行時行為、信任模型與版本控制機制上。傳統 API 事務通常不會在敏感環境中觸發任意、不受信任的程式碼執行，而 MCP 卻是基於 LLM 將文本視為指令的特性運作。當 MCP 伺服器向 LLM 注入工具元數據、描述或上下文時，這些文本實際上是以代碼執行的形式在影響 LLM 的決策與行為。這種機制帶來了獨有的「地毯式拉扯」（Rug Pull）風險：一個初始連接時看似無害的 MCP 伺服器，可能在後續的互動中注入惡意或有害的上下文，因為客戶端無法預先審查這些在運行時提供的文本內容。

此外，版本控制的缺失是另一個關鍵差異。標準 API 允許客戶端鎖定（Pin）並審查特定版本，從而確保穩定性與安全性。然而，MCP 客戶端在每次連線時都會自動接收 MCP 伺服器發布的最新元數據，無法進行版本固定。這使得組織無法有效審查或信任協議的特定實例，加劇了環境中的不確定性與潛在惡意行為的風險。對於依賴 LLM 進行關鍵業務決策的企業而言，這種動態且不可預測的執行環境，要求完全不同於傳統 API 安全框架的專業解決方案。

身份與信任的邊界：企業治理的四大盲點與對策

MCP 的廣泛應用揭示了企業在身份管理和存取控制方面的嚴重不足。單純依賴動態客戶端註冊（DCR）或 OAuth 等機制已無法滿足企業級的安全需求。企業需要更強健的客戶端身份識別元數據，以確保僅授權的實體能夠與 MCP 伺服器互動。

信任模型的誤區

首先，許多團隊混淆了「供應商聲譽」與「架構可信度」。事實證明，即使是 GitHub、Atlassian 或 Microsoft Copilot 這些聲譽卓著的 SaaS 供應商，其 MCP 伺服器也曾被發現存在提示注入（Prompt Injection）漏洞。這表明 MCP 的安全性必須從協議和部署層面評估，而非僅憑藉供應商的品牌。其次，MCP 本質上只是一個「協議」，描述了客戶端和伺服器之間的通訊方式，它本身並非提供身份驗證、稽核軌跡、可觀察性或合規保證的「產品」。企業必須自行建構這些關鍵的安全與營運功能。

治理失控的危機

當組織缺乏集中化的 MCP 可觀察性與控制機制時，「影子 MCP」（Shadow MCP）和「伺服器氾濫」（Server Sprawl）便會發生。員工可能在未經 IT 或安全團隊批准的情況下部署伺服器，形成安全盲區，使得安全團隊無法監控其長期安全狀態或已知漏洞。更為危險的是本地部署的 MCP 伺服器，它們可能具備存取敏感的本地憑證或文件（如儲存在 MCP.json 中的 bearer 或 API tokens）的權限。一旦伺服器遭漏洞利用，這些用於生產環境的存取令牌便可能外洩，造成廣泛的憑證風險。

身份與存取控制的挑戰

企業對於身份管理的需求與 MCP 規範的某些基礎流程（如 DCR）存在脫節。企業不願看到匿名身份驗證流程或共用的「服務帳號」存取關鍵系統，而是要求將 MCP 無縫整合至現有的身份管理基礎設施，為每個人類使用者或 AI Agent 附加真實身份、政策與控制。實施細粒度的存取控制邊界複雜且持續變化。此外，惡意行為者可能利用「工具冒充」（Tool Impersonation）或「工具仿冒」（Tool Mimicry）攻擊：在惡意伺服器中添加與合法伺服器中工具名稱相似的工具，以欺騙 AI 模型選擇錯誤的工具，從而導致資料外洩或憑證竊取等嚴重後果。

永續治理藍圖：政策導向與集中控制的必要性

面對這些複雜的安全挑戰，業界共識正在迅速形成：MCP Gateway 將成為企業部署 MCP 生態系統的非議價工具和核心控制平面。

MCP Gateway 的核心戰略價值

MCP Gateway 透過提供內部伺服器與客戶端登錄系統，有效緩解了「影子 MCP」和「伺服器氾濫」問題。它能夠集中管理並標準化所有的 MCP 身份驗證流程，例如強制使用 OAuth 2.1 搭配 Proof Key for Code Exchange (PKCE)，並確保令牌的定期輪換、細緻的範圍界定（Finely-scoped）和安全儲存。透過 Gateway，組織可以實施伺服器、工具和客戶端的允許列表（Allowlists）與阻止列表（Blocklists），並為工具添加命名空間（Namespaces），從而幫助 AI 模型準確選擇目標，有效預防「工具冒充」攻擊。最重要的是，Gateway 能夠強化身份管理，要求每位存取者使用其個人憑證，避免共用或「機器人」帳號的濫用，提升稽核能力。正如強固的電子郵件安全平台已成為企業標配一樣，MCP 治理平台也將隨著生態系統的成熟而普及。

政策導向的存取控制 (PBAC) 崛起

隨著 AI Agent 使用 MCP 伺服器的方式變得日益複雜和不可預測，傳統的存取控制模式難以應對。Policy-based Access Control（PBAC）提供了一種更具可擴展性、安全性和粒度的解決方案。PBAC 允許安全團隊基於定義好的政策，而非單純的用戶角色，來控制資源存取和權限，使其更適合 LLM 環境的動態特性。預計 PBAC 將在大型組織中早期被採用，成為 MCP 安全標準的一部分。

合規與部署模式的演變

隨著 MCP 擴展至涉及個人資料（PII）、金融或醫療記錄等敏感數據的行業，監管合規壓力將顯著增加。組織將被迫實施嚴格、細粒度的存取控制和防護措施，以防止數據外洩，並提供 LLM 存取和操作這些敏感信息的可稽核日誌。這將推動企業策略性地轉變 MCP 伺服器的部署模式，從純本地或外部環境轉向在企業自有雲端環境中將 MCP 伺服器作為內部服務託管，以實現更全面的安全控制、可觀察性與合規性保障。

建構面向未來的安全生態系統

Michael Yaroshefsky 的深入分析為我們敲響了警鐘：模型上下文協議的安全需求是獨特的，必須拋棄對傳統 API 安全模型的依賴。成功的 MCP 策略必須建立在對其運行時行為、信任本質的正確理解之上。透過強制實施 MCP Gateway 作為中央控制點，結合 PBAC 等先進的存取控制機制，並將身份治理視為安全基石，企業才能有效地緩解「影子 MCP」、身份誤區和惡意注入的風險。在 LLM 時代，安全不再僅是邊界防禦，而是協議與上下文的治理。建構一個全面、受控且合規的 MCP 生態系統，是企業保持競爭力與信任的關鍵所在。