MCP安全漏洞曝光，病毒式AI助手加剧风险

由于缺少强制身份验证，模型上下文协议（MCP）正面临重大的安全危机，而病毒式AI助手Clawdbot的广泛使用加剧了这一漏洞。 缺乏内置安全措施引起了业内人士的警惕，他们预测可能会发生具有持久影响的“灾难”。

MCP的核心缺陷最早由VentureBeat于去年10月报道，在于其不安全的默认设置。 该协议在发布时未要求身份验证，使其容易受到攻击。 授权框架在协议广泛部署六个月后才引入，但最初缺乏安全性仍然是一个关键问题。

根据Pynt的研究，仅部署10个MCP插件就会产生92%的被利用概率。 即使是单个插件也会带来有意义的风险。 Clawdbot的迅速普及加剧了这一漏洞，这可能会使众多公司面临网络攻击。

Enkrypt AI的首席安全官Merritt Baer警告了不安全默认设置的危险。“MCP正在重蹈我们在每个主要协议推出中都见过的覆辙：不安全的默认设置，”Baer表示。“如果我们从一开始就没有构建身份验证和最小权限原则，那么在未来十年里，我们将一直在清理漏洞。”

情况被认为是危急的，专家强调迫切需要采取强有力的安全措施，以减轻与MCP身份验证缺陷相关的风险。 行业现在面临着应对这些漏洞和防止潜在网络攻击的挑战。