—— 當你在串 AI agent,它們也在暴露自己。
MCP(Multi-Component Program)指的是一個由多個組件組成的 AI 系統,例如:
這些元素一旦整合在一起,攻擊面就從「模型」變成了「生態系」。
Unit 42 提醒我們注意 AI 模型供應鏈,
而這篇由 @ankitaiitr 彙整的 17 種 MCP 攻擊類型,則揭示了 AI agent 真實的風險圖譜。
| 類型 | 攻擊說明 |
|---|---|
| 1️⃣ Prompt Injection | 惡意 prompt 讓 agent 偏離原本行為 |
| 2️⃣ Tool Misuse(Confused AI) | 用對工具但用錯方式,例如亂叫 API |
| 3️⃣ Schema Inconsistency | 輸入/輸出格式不一致,被攻擊者利用 |
| 4️⃣ Slash Command Overlap | 多個指令衝突,觸發錯誤回應 |
| 5️⃣ Vulnerable Client | 用戶端實作太弱,洩漏資料或控制權 |
| 6️⃣ MCP Rebinding | 將內部連線重新導向攻擊者伺服器 |
| 7️⃣ Man-in-the-Middle | 攔截 MCP 傳輸資料並篡改 |
| 8️⃣ Tool Shadowing | 假冒工具註冊與真實工具同名 |
| 9️⃣ Data Exfiltration | 資料被透過 MCP 呼叫偷出 |
| 🔟 Tool Name Squatting | 惡意工具使用近似名稱誤導系統 |
| 1️⃣1️⃣ Indirect Prompt Injection | 有害指令藏在工具回應或外部資源中 |
| 1️⃣2️⃣ Server Name Squatting | 假冒伺服器名稱讓 agent 誤信任 |
| 1️⃣3️⃣ Configuration Drift | 安全設定默默改變未被察覺 |
| 1️⃣4️⃣ Sandbox Escape | 工具突破沙箱取得外部資源 |
| 1️⃣5️⃣ Tool Poisoning | 原本正常的工具遭污染或植入惡意行為 |
| 1️⃣6️⃣ Vulnerable Server | MCP Server 本身漏洞被利用 |
| 1️⃣7️⃣ Rug Pull Attack | 工具/伺服器被更新為惡意版本後偷換 |
現代 AI 應用不只是問答,而是「呼叫 + 回應 + 判斷 + 多步執行」。
這也代表:
越強的 AI Agent,越複雜的組件,越多的資安破口。
特別是在以下情境中風險最高:
MCP 就像一台 AI 雲端坦克,看似堅固,卻可能在螺絲沒鎖緊的地方爆炸。
掌握這 17 種風險,
是打造可信任 AI Agent 的第一步。
📄 來源:@ankitaiitr《17 MCP Security Attack Types》
連結:https://x.com/ankitaiitr
iThome鐵人賽
看影片追技術