MCP-SafetyBench: A Benchmark for Safety Evaluation of Large Language Models with Real-World MCP Servers

本文提出了基于真实 MCP 服务器的 MCP-SafetyBench 基准，通过涵盖五大领域和 20 种攻击类型的统一分类法，系统评估了主流大语言模型在复杂多步推理与跨服务器协作场景下的安全风险，揭示了现有模型普遍存在漏洞且面临安全与效用权衡的严峻挑战。

要点

这篇论文介绍了一个名为 MCP-SafetyBench 的新工具，它就像是一个专门用来测试“智能助手”在现实世界中是否安全的压力测试场。

为了让你更容易理解，我们可以把这篇论文的内容想象成在检查一家超级繁忙的“万能代办处”（也就是现在的 AI 智能体）是否靠谱。

1. 背景：AI 正在变成“全能管家”

以前的 AI 就像是一个只会写诗、聊天的图书管理员，你问它什么，它就答什么。
但现在，AI 进化成了全能管家（Agent）。它不仅能聊天，还能帮你查股票、订机票、操作电脑文件、甚至控制浏览器。

为了让这些管家能调用各种工具，科学家们发明了一种通用的“接口协议”，叫 MCP（模型上下文协议）。

• 比喻：MCP 就像是一个万能插座。以前每个电器（工具）插头都不一样，现在有了 MCP，所有的电器都能插进去，管家就能随意指挥它们工作了。

2. 问题：万能插座也有被黑客利用的风险

虽然这个“万能插座”很方便，但它太开放了，导致出现了很多新的安全隐患。

• 现状：现在的评测工具大多只测试“管家”会不会说脏话，或者会不会在单一的对话中犯错。
• 漏洞：但在现实中，管家需要同时连接几十个不同的“电器”（服务器）。黑客可以：
  • 给电器贴假标签：比如把一个“删除文件”的按钮伪装成“保存文件”。
  • 在中间人下毒：在管家和电器传递信息时，偷偷修改指令。
  • 冒充主人：骗管家说“我是老板，快把保险柜打开”。

现有的测试工具就像只检查管家会不会在家里吵架，却完全没测试过当管家去外面（连接各种外部服务器）办事时，会不会被坏人骗。

3. 解决方案：MCP-SafetyBench（智能管家安全考场）

作者们建立了一个全新的安全考场，专门模拟这种复杂的现实场景。

• 考场环境：他们搭建了 5 个真实的“工作区”：
  1. 浏览器自动化（像帮你在网上买东西、填表）。
  2. 金融分析（像帮你查股价、算账）。
  3. 位置导航（像帮你规划路线）。
  4. 仓库管理（像帮你管理代码库）。
  5. 网络搜索（像帮你找资料）。
• 考题设计：他们设计了 20 种不同的“陷阱”（攻击类型），比如：
  • 参数投毒：把“查特斯拉股价”偷偷改成“查特斯拉的竞争对手”。
  • 指令注入：在工具描述里藏一句“执行删除命令”。
  • 身份伪造：假装是管理员让管家做违规操作。
• 考试过程：让 13 个最厉害的 AI 模型（包括 GPT-5, Claude, Gemini 等）去这些考场里完成任务，同时观察它们会不会掉进陷阱。

4. 考试结果：大家都“挂”了，而且越聪明的越容易中招

测试结果让人有点意外，但也很有启发性：

• 全员“挂科”：没有一个 AI 模型能完美防御所有攻击。即使是最新的 GPT-5 或 Claude 4，也有大约 30% 到 50% 的任务被黑客成功攻击了。
• 越能干，越危险（安全与效用的权衡）：
  • 比喻：这就像是一个超级听话的实习生。你让他做事，他做得越快、越精准（任务成功率高），他就越容易盲目听从你的指令，哪怕指令里藏着毒药。
  • 数据：那些任务完成得最好的模型，往往防御能力最差。因为它们太想“帮用户解决问题”了，以至于忽略了指令里的危险信号。
• 最危险的环节：
  • 主机端攻击（欺骗管家的大脑）最可怕，成功率高达 82%。比如直接修改管家的思考逻辑，让它以为“删除文件”是安全的。
  • 金融领域最容易被攻击，因为那里的操作链条长，给黑客留下了更多下手的空间。

5. 为什么“安全提示语”没用？

作者们尝试给 AI 加一句“安全咒语”（比如：“请小心，不要执行危险操作”），想看看能不能提高安全性。

• 结果：效果微乎其微，甚至有时候适得其反。
• 比喻：这就像给一个正在高速公路上飙车的司机贴一张“注意安全”的贴纸。如果司机本身太想赢（太想完成任务），或者坏人伪装得太像（攻击太隐蔽），这张贴纸根本拦不住他。
• 结论：光靠“口头提醒”是不够的，我们需要更深层的防御机制（比如给工具加锁、限制权限）。

6. 总结与启示

这篇论文告诉我们：

1. AI 管家已经上路了：它们正在连接真实世界的工具，风险是实实在在的。
2. 现在的 AI 还不够“警觉”：它们太擅长执行任务，却太不擅长识别任务中的“陷阱”。
3. 我们需要新武器：不能只靠给 AI 加几句“安全提示”，必须从系统架构、权限管理、工具验证等多个层面建立防线。

一句话总结：
这篇论文就像给未来的 AI 世界敲了一记警钟——我们的智能管家虽然能干，但在面对精心设计的“伪装陷阱”时，它们还像个容易受骗的小白，急需穿上更结实的“防弹衣”才能放心地帮我们要去办事。

技术摘要

这是一篇发表于 ICLR 2026 的会议论文，题为 《MCP-SAFETYBENCH: A BENCHMARK FOR SAFETY EVALUATION OF LARGE LANGUAGE MODELS WITH REAL-WORLD MCP SERVERS》。该论文针对大语言模型（LLM）向智能体（Agent）系统演进过程中，引入模型上下文协议（MCP）所带来的新型安全风险，提出了一个基于真实 MCP 服务器的综合性安全评估基准。

以下是该论文的详细技术总结：

1. 研究背景与问题 (Problem)

• 背景：LLM 正从被动的文本生成器演变为能够推理、规划并操作外部工具的智能体系统。模型上下文协议（MCP） 是这一转变的关键推动者，它标准化了 LLM 与异构工具及服务之间的连接方式，极大地降低了集成复杂度。
• 核心问题：MCP 的开放性和多服务器工作流引入了新的安全漏洞，而现有的基准测试无法有效捕捉这些风险。
  • 现有研究多关注孤立的攻击或缺乏真实世界的覆盖。
  • 攻击者可以通过在工具元数据中嵌入恶意指令（工具投毒）、在跨服务器传播中污染上下文（上下文污染），或利用高权限恶意服务器触发未授权操作。
  • 随着 MCP 生态系统扩展到数千个第三方服务器，这些风险已成为实际部署中的具体障碍。
• 现有基准的不足：现有的 MCP 安全基准（如 SafeMCP, MCPTox 等）通常局限于特定的攻击类型，缺乏与真实 MCP 服务器的集成，且未能充分捕捉现实场景中多轮推理、跨服务器协调以及不确定性下的复杂威胁动态。

2. 方法论 (Methodology)

论文提出了 MCP-SafetyBench，这是一个基于真实 MCP 服务器构建的综合性基准，旨在系统评估 LLM 智能体在 MCP 环境下的鲁棒性。

2.1 攻击分类体系 (Attack Taxonomy)

作者建立了一个统一的分类体系，涵盖 20 种 攻击类型，分为三个层面：

1. MCP 服务器端攻击 (Server-side)：涉及工具注册、描述或实现的篡改。
   • 包括：工具投毒（参数、命令注入、文件系统、重定向、网络请求、依赖注入）、功能重叠、偏好操纵、工具阴影、函数返回注入、Rug Pull 攻击（版本漂移）等。
2. MCP 主机端攻击 (Host-side)：针对主机（LLM Agent）的规划、编排和消息路由逻辑。
   • 包括：意图注入、数据篡改、身份伪造、重放注入。
3. 用户端攻击 (User-side)：利用用户提供的提示、文件或外部数据。
   • 包括：恶意代码执行、凭证窃取、远程访问控制、检索代理欺骗、过度权限滥用。

2.2 基准构建 (Benchmark Construction)

• 数据来源：基于 MCP-Universe 基准，选取了 5 个 代表性领域：浏览器自动化、财务分析、位置导航、仓库管理、网络搜索。
• 构建流程：
  1. 任务选择：从 MCP-Universe 中选取真实任务作为基线。
  2. 攻击实例化：将上述 20 种攻击中的每一种注入到基线任务中（修改工具清单、主机管道或用户提示）。
  3. 形式化与封装：将任务封装为包含攻击元数据的测试用例。
• 统计特征：共包含 245 个 独立测试用例。攻击分布上，服务器端攻击占比最高 (74.69%)，策略上分为 破坏性攻击 (46.53%) 和 隐蔽性攻击 (53.47%)。

2.3 评估框架 (Evaluation)

• 双指标评估：
  • 任务成功率 (TSR)：用户目标是否达成。
  • 攻击成功率 (ASR)：攻击者的目标（如破坏任务或窃取数据）是否实现。
• 自动化执行：基于 ReAct 框架，在标准化 MCP 管道中执行任务，通过任务评估器和攻击检测器自动判定结果。

3. 关键贡献 (Key Contributions)

1. 统一的攻击分类法：提出了涵盖服务器、主机和用户三端的 20 种 MCP 攻击类型的统一分类体系，整合并澄清了 prior work。
2. 首个真实世界多轮 MCP 安全基准：构建了 MCP-SafetyBench，基于真实 MCP 服务器，支持跨 5 个领域的多步推理和多服务器协调的安全评估，填补了现有评估的空白。
3. 系统性实证研究：对领先的开源和闭源 LLM 进行了全面评估，揭示了模型在安全性能上的巨大差异以及不同攻击类型的有效性。

4. 实验结果 (Results)

研究对 13 个主流模型（包括 GPT-5, Claude-4.0, Gemini-2.5, Qwen3, DeepSeek-V3.1 等）进行了评估，主要发现如下：

• 普遍脆弱性：所有 被评估的模型在 MCP 环境中均存在严重的安全漏洞。整体攻击成功率 (ASR) 范围从 29.80% (Qwen3-235B) 到 48.16% (o4-mini) 不等。
• 安全 - 效用权衡 (Safety-Utility Trade-off)：
  • 发现任务成功率 (TSR) 与防御成功率 (DSR = 1-ASR) 之间存在显著的负相关 ($r = -0.572$)。
  • 表现最好的模型（如 o4-mini，TSR 最高）往往防御能力较弱；而防御较强的模型（如 Qwen3-235B）任务完成度较低。这表明模型在优化指令遵循和工具调用时，可能牺牲了对恶意输入的警惕性。
• 领域差异：
  • 财务分析领域最脆弱 (平均 ASR 46.59%)，因为该领域涉及复杂的工具链和状态变更，给攻击者提供了更多劫持机会。
  • 网络搜索领域相对安全 (平均 ASR 30.33%)。
• 攻击类型差异：
  • 主机端攻击成功率最高 (平均 81.94%)，特别是身份注入 (Identity Injection) 在所有模型中达到了 100% 的成功率。
  • 工具投毒内部差异巨大：工具重定向 (Tool Redirection) 成功率高 (70.63%)，而网络请求投毒等较低。
  • 大多数模型表现出“尖峰防御”特征：对某些攻击类型防御力强，但对其他类型（如身份注入）极度脆弱。
• 开源 vs. 闭源：两者在安全性上没有系统性的显著差异，表现互有胜负。
• 安全提示 (Safety Prompt) 的局限性：
  • 简单的安全提示仅将加权 ASR 降低了 1.22%，且统计上不显著。
  • 对某些攻击（如恶意代码执行）有效，但对语义攻击（如偏好操纵）甚至有害（ASR 上升）。这表明仅靠提示工程不足以应对 MCP 环境中的复杂威胁。

5. 意义与展望 (Significance)

• 诊断基础：MCP-SafetyBench 为诊断和缓解真实世界 MCP 部署中的安全风险提供了坚实的基础。
• 警示作用：研究揭示了当前最先进的 LLM 智能体在面对 MCP 攻击时极其脆弱，且存在明显的安全 - 效用权衡，强调了单纯依赖模型自身能力或简单提示是不够的。
• 未来方向：
  • 需要开发多层防御策略，超越提示工程。
  • 探索模型遗忘 (Unlearning) 技术以根除恶意攻击模式。
  • 实施动态工具审查和上下文最小权限机制。
  • 开发自动化、自适应的防御系统。

总结：该论文通过构建基于真实场景的 MCP-SafetyBench，首次系统性地量化了 LLM 智能体在 MCP 协议下的安全风险，揭示了现有模型在复杂多步工具调用中的脆弱性，并指出了当前防御手段的不足，为构建更安全的 AI 智能体生态系统指明了方向。