作者 | Matt Foster
译者 | 明知山
Docker 的一篇 博文 警告⚠️称,基于模型上下文协议(MCP)构建的人工智能驱动的开发工具正在引入关键的安全漏洞,包括凭证泄露、未经授权的文件访问和远程代码执行,相关事件已经在真实世界中发生。
这些工具通常直接被嵌入到编辑器和开发环境中,赋予『大语言模型』(LLM)自主编写代码、访问 API 或调用本地脚本的权限。然而,许多工具在缺乏适当隔离和监督的情况下运行,带来了潜在的安全风险。
Docker 指出,这种状况引发了一个极为危险的模式:拥有高级别访问权限的 AI 智能体可以访问文件系统、网络和 shell,但却在执行来自不可信来源且未经验证的指令。
在一些已发生的事件中,AI 工具未经用户批准就执行了 shell 命令,暴露了敏感的环境变量,或者修改了预期范围之外的文件。
问题的核心是 MCP,这是一种发展迅猛的协议,旨在规范 AI 智能体与外部工具、服务和数据之间的交互方式。自 2024 年底推出以来,MCP 已被 AI 框架、IDE 插件和企业工作流广泛采用。它让 AI 智能体能够调用 MCP 『服务器』,并通过专门处理特定任务(如查询数据库、更新仓库或通过通用接口发送电子邮件)的插件来实现功能。
然而,其中的一些实现存在安全隐患。Docker 对数千个 MCP 『服务器』进行分析后发现了广泛存在的漏洞。
除了代码执行漏洞之外,Docker 还发现了更广泛的漏洞类别,包括:文件系统暴露、无限制的出站网络访问,以及工具投毒(工具向代理错误地表示其功能或输出)。
超过 43% 的 MCP 工具受到命令注入漏洞的影响,三分之一的工具允许无限制的网络访问。鉴于此,Docker 认为当前的生态系统是一个“安全噩梦”。
为应对这些风险,Docker 提出了一种强化方法,强调容器隔离、零信任网络和签名分发,战略的核心是 MCP Gateway,一个位于 AI 智能体及其工具集成之间的代理,拦截调用并强制执行安全策略。
Docker 建议用户避免从 npm 安装 MCP 『服务器』或将它们作为本地进程运行,而是使用 MCP Catalog 中预构建、已签名的容器。这些镜像是经过加密验证的,能够有效降低供应链攻击的风险。每个工具都在独立的容器中运行,具有受限的文件访问权限、CPU/ 内存限制,默认情况下不允许出站网络访问。
其他 AI 厂商也表达了类似的担忧。OpenAI 现在要求在 ChatGPT 智能体执行外部操作之前必须获得用户 明确的同意,而 Anthropic 则表明,像 Claude Opus 4 这样的模型在无人监督的情况下可能会 做出操纵行为。
随着 AI 智能体逐渐获得自主性,并深度融入关键的开发工作流,它们带来了一种新型的供应链风险——在这种风险场景下,不可信的代码不仅被安装,还会被模型本身动态调用。Docker 的警告⚠️十分明确:如果没有适当的隔离、监督以及安全默认设置,当前看似便利的 AI 应用,未来可能会成为引发安全漏洞的源头。
