作为连接AI模型与外部工具的“USB-C接口”，MCP协议成为AI生态的核心枢纽，其安全风险已从理论威胁转化为实际攻击目标。

AI生态警报：MCP协议风险与应对指南（上）——架构与供应链风险https://blog.csdn.net/WangsuSecurity/article/details/148335401?sharetype=blogdetail&sharerId=148335401&sharerefer=PC&sharesource=WangsuSecurity&spm=1011.2480.3001.8118

上篇提到，MCP安全主要包括MCP Server安全与MCP Host安全。本文作为系列中篇，将解析MCP Server运行时在本地与远程场景下的权限管控、流量过滤等实战方案，并前瞻网关架构的统一防护演进。

MCP Server运行时涉及对外指令执行、资源访问、接口交互等多种行为，一旦缺乏有效的行为控制机制，这些操作便可能被滥用或恶意利用，从而对系统的正常运行和安全性造成影响。

目前MCP Server 支持多种通信模式，包括本地的标准输入输出（STDIO）以及基于 HTTP 协议的 SSE（Server-Sent Events）和Streamable HTTP。STDIO 主要用于本地集成，通过进程间数据交互实现通信，SSE 和 Streamable HTTP 则依托网络进行远程交互。不同的通信方式涉及不同的运行环境，面临不同的安全风险。

一、本地运行时安全

可以注意到，MCP 协议中Tools 的 annotations 字段通常包含开发者主动声明的行为属性（如 readOnlyHint、openWorldHint 等，详见上篇Tool安全章节）。首先，应对预定义的行为属性与功能需求进行一致性比对，确认其合理性；随后再对比实际行为是否符合预定义行为，判断其是否存在偏离或异常。例如，Tool若声明了readOnlyHint: true，则应禁止或严格监控其写入及删除等行为。

同时，MCP协议还通过Resources原语让MCP Server对外暴露其作用的资源列表。通过resources/list在一定程度上可以促使MCP Server进行行为的定义。但是由于大多数情况下资源难以穷举并通过数据方式进行交互，故不被广泛使用。

当前annotations字段存在行为约束粒度太粗的问题，无法精准的描述工具的行为范围，Resources原语也难以描述Server的行为范围。协议本身的问题影响对Server行为的控制和风险识别，需要更加完善的方案。

可以将本地运行的MCP Server类比为手机上的应用程序（App），作为插件为Agent（AI）提供多样化能力。每个MCP Server都应像手机App一样，明确定义自身可访问的资源范围。例如，文件读写需限定在明确路径内，防止越界访问本地敏感区域；网络访问也应受限于可信的服务器域名范围内，该行为的控制对于仅做协议适配器的Server更为重要。

借鉴手机App的权限控制和行为管理机制，MCP Server也应建立完善的行为管理体系。建议事先梳理所有可能出现的操作行为，并按照实际需求和安全原则进行分类：

• 非功能相关的行为：仅允许与 MCP Server 业务强相关的资源与权限。例如，地图类MCP Server的网络访问仅应限定于地图服务相关服务器，禁止访问其他无关的网络地址；在多 MCP 部署环境中，如无业务需求，应强制各 Server 间互相隔离，避免互访，防止权限越界和数据泄露。
• 允许的高风险行为：包括各类高风险操作，如外部网络访问、命令执行、提升权限、删除数据、资金交易等行为。在执行此类敏感操作前，MCP Host需要通过合理交互让用户进行二次确认。在高风险操作执行前弹出操作详情以及风险提示，用户明确同意授权后方可操作。
• 允许的低风险行为：如正常业务下的读取配置、访问业务 API、常规数据传输等，虽风险较低但亦可能被滥用，应纳入日志和审计范围。针对异常请求频率、行为孤岛等可疑情况，应及时告警处理。

二、远程运行时安全

1. 通信安全

不安全的通信链路可能导致未授权接入、敏感数据泄露、请求篡改等行为风险。为此，应从以下方面加强 MCP Host 与 Server 之间的数据传输安全与访问控制：

认证与鉴权：防止未经授权的客户端接入 MCP Server，建议采用 OAuth 2.1、PKCE等鉴权手段，确保只有可信主体可以建立连接并进行操作，保障身份和权限的合规性，有效隔绝未授权访问风险。

TLS/SSL 加密：避免通信内容被窃听与篡改，通过启用安全 TLS/SSL 协议、验证服务端证书、禁用弱加密套件、定期审查配置，确保数据全程加密传输。

签名机制：防止数据被中途篡改或伪造，对请求应用数字签名并服务器侧严格验签，以保障数据完整性和可信度。

防重放攻击：防御攻击者重用历史请求，通过引入时间戳、随机数等唯一性校验机制，有效杜绝重放风险。

2. 流量安全

MCP Host 与 MCP Server 之间的异常流量往往源于攻击行为。利用流量过滤及监测手段，可及时阻断这些潜在风险，从而有效保障系统稳定运行和数据安全。

请求过滤：防止恶意参数和非法指令流入 MCP Server，采用严格的规则校验，阻断高风险输入。

响应过滤：避免恶意服务器通过异常或恶意响应影响模型行为和终端用户安全，需对返回内容进行安全过滤。

日志记录：缺乏有效日志可能导致风险难以及时发现与溯源，通过细致的关键流量日志记录，确保具备可追溯性和审计能力。

3. 统一防护

面向未来技术演进，可以在架构中引入专门的 MCP 网关或 AI 网关组件，用于统一处理 MCP Server 的安全防护与流量治理。

这些网关不仅承担通信安全、流量过滤、协议适配等基础职责，还可以作为沙箱控制中心，实现对 MCP Server 的环境隔离与访问控制，从而有效抵御潜在的攻击风险。同时，还能满足对分布式环境下服务治理、健康检测等功能的需求。

通过SDK、MCP Proxy、MCP 网关、AI 网关等架构演进，对MCP Server进行标准化、体系化的安全防护。

小结

在筑牢Server端防线后，终端用户直接交互的MCP Host成为攻击的最后突破口。​​下篇将聚焦Host的凭证加密、输入过滤等终端防护策略。​​

AI生态警报：MCP协议风险与应对指南（下）——MCP Host安全https://blog.csdn.net/WangsuSecurity/article/details/148343515?sharetype=blogdetail&sharerId=148343515&sharerefer=PC&sharesource=WangsuSecurity&spm=1011.2480.3001.8118