你的 AI Agent 正在盲连 MCP 服务器。没有人检查过它们是否安全——直到现在。
你在盲连,而你不知道
2026 年,MCP(Model Context Protocol)已经成了 AI Agent 的事实标准协议。Claude Code、Cursor、Codex、以及字节跳动的 UI-TARS,都在通过 MCP 连接外部工具:文件系统、数据库、浏览器、Kubernetes 集群。
问题在于,绝大多数 MCP 服务器从未被安全审计过。
你给 Agent 接了一个 Kubernetes MCP 服务器。Agent 能执行什么命令?它有没有 shell 注入面?上游更新后 Schema 是否悄悄变了?答案在今天是:没人知道。
我们做了一个实验。对 mcp-server-kubernetes——一个 3,000+ star 的官方 MCP 服务器——跑了安全扫描。结果是 72/100 分,安全维度直接 0 分,发现 3 个 HIGH 级别问题:
| 工具 | 风险等级 | 问题 |
|---|---|---|
kubectl_create |
HIGH |
command 参数允许任意命令执行(shell 注入) |
exec_in_pod |
HIGH |
command 参数允许在 Pod 内执行任意命令 |
kubectl_generic |
HIGH | 通用 command 参数绕过所有安全约束 |
这不是漏洞指控——而是在你把它接上生产集群之前,你需要知道的事。
mcp-observatory:MCP 服务器的安全望远镜
mcp-observatory 就是为回答这类问题而生的开源工具。一条命令,完成自动化安全审计、攻击模拟、Schema 漂移检测和合规检查。
截至发文:142 GitHub Stars、21 Forks、npm 月下载 2,300+。已在 Gitee 建立镜像,国内可直接访问。
bash
npx @kryptosai/mcp-observatory
Top comments (0)