MCP-in-SoS: Risk assessment framework for open-source MCP servers

该论文针对缺乏对开源 MCP 服务器系统性安全评估的现状，提出了一种结合静态代码分析、CWE 弱点识别与 CAPEC 攻击模式映射的多指标风险评分框架，以量化评估其机密性、完整性和可用性风险并推动安全设计。

要点

这篇论文就像是一份**“开源软件安全体检报告”**，专门针对一种名为 MCP（模型上下文协议） 的新型技术。

为了让你更容易理解，我们可以把整个故事想象成**“给一群新开的‘智能餐厅’做安全检查”**。

1. 背景：什么是 MCP？（智能餐厅的“点菜员”）

想象一下，未来的 AI（比如聊天机器人）不再只是会说话，它们还能真正动手做事，比如查天气、控制家里的智能灯泡、甚至操作你的银行账户。

• AI 是大厨：它很聪明，能思考怎么解决问题。
• MCP 服务器是“点菜员”：它负责把 AI 的指令翻译成具体的动作，去连接外面的工具（比如天气 API、文件系统）。
• 现状：现在，很多开发者（就像开餐厅的老板）都在开源社区（GitHub）上免费发布了成千上万个这样的“点菜员”程序，供 AI 使用。

问题来了：这些“点菜员”虽然好用，但很多是新手写的，代码里可能藏着很多**“后门”或“漏洞”**。如果黑客控制了这些“点菜员”，他们就能指挥 AI 去偷你的数据、删掉你的文件，甚至入侵你的电脑。

2. 研究目的：我们要做什么？（给餐厅做“全面体检”）

之前的研究只是理论分析，或者只盯着几个特定的例子。但这篇论文的作者（来自新墨西哥州立大学等机构）决定做一件大事：

他们开发了一套自动化的“安检系统”（MCP-in-SoS），对 GitHub 上 222 个热门的开源 MCP 服务器进行了大规模扫描。

这就好比他们派出了 222 个侦探，拿着专业的检查清单，去检查这 222 家餐厅的厨房、后门和收银台，看看有没有安全隐患。

3. 他们是怎么做的？（安检的“三步走”）

作者设计了一个四阶段的流程，我们可以把它想象成**“找茬游戏”**：

1. 自动扫描（用机器找茬）：
   他们用了三种不同的“安检机器”（CodeQL, Joern, Cisco AI Scanner），像 X 光机一样扫描代码。这些机器专门寻找代码中常见的错误模式（比如“忘记锁门”、“把钥匙挂在门口”）。

   • 比喻：就像用金属探测器扫过厨房，看有没有藏着刀。

2. 对照标准（查字典）：
   机器发现了很多问题，但名字五花八门。作者把它们统一对照两个“安全字典”：

   • CWE：就像“常见故障清单”，比如“未授权访问”、“密码硬编码”。
   • CAPEC：就像“黑客攻击手法大全”，比如“通过欺骗获取权限”。
   • 比喻：把机器发现的“奇怪声音”翻译成标准的“故障代码”，并查清楚这种故障通常会导致什么后果。

3. 打分评级（算风险分）：
   他们给每个问题打分。

   • 可能性：黑客容易利用这个漏洞吗？
   • 后果：如果利用了这个漏洞，会损失多少钱或数据？
   • 最后算出一个**“风险指数”**，把餐厅分成“安全”、“中等风险”、“高风险”和“极度危险”。

4. 发现了什么？（体检结果令人担忧）

结果非常惊人，就像体检报告出来，发现86% 的餐厅都有严重的卫生或安全隐患：

• 普遍存在漏洞：在 222 个服务器中，有 191 个（86%）至少有一个漏洞。
• 风险很高：大部分有问题的服务器，风险等级被评定为“高”或“极高”。
• 最常见的漏洞：
  • 缺少授权（Missing Authorization）：就像餐厅大门没锁，谁都能进，不管是不是顾客。
  • 敏感信息泄露（Exposure of Sensitive Information）：就像收银台把客户的信用卡号直接贴在玻璃上。
  • SQL 注入：就像有人往菜单里塞了毒药，服务员一读菜单，厨房就炸了。

5. 最危险的组合：连锁反应（多米诺骨牌）

论文最精彩的部分是发现，漏洞很少单独存在，它们喜欢“组团”作案。作者发现了一个可怕的“连锁反应”：

• 第一张骨牌（协议层漏洞）：通常是因为“大门没锁好”（访问控制太弱）。
• 第二张骨牌（工具层漏洞）：一旦进了门，黑客就能利用“点菜员”的指令漏洞，去操作不该操作的工具。
• 第三张骨牌（资源层漏洞）：最后，黑客就能拿到里面的“宝藏”（敏感数据）。

比喻：
这就好比你家大门没锁（协议漏洞），小偷进来了发现厨房窗户也没关（工具漏洞），最后直接把你保险柜里的钱拿走了（资源漏洞）。
结论：只要“大门”没锁好，后面所有的防御可能都形同虚设。

6. 总结与建议（我们要怎么做？）

这篇论文告诉我们：

1. 现状严峻：目前流行的开源 MCP 服务器虽然方便，但安全性非常脆弱，就像是用纸糊的城堡。
2. 需要“安全设计”：开发者不能等出了事再修补，必须在写代码的第一天就把安全考虑进去（Secure-by-Design）。
3. 呼吁行动：作者已经把这些发现告诉了相关的开源项目，并呼吁社区建立更规范的漏洞报告机制（比如使用 SECURITY.md 文件），让白帽子黑客能安全地报告问题，而不是被黑客利用。

一句话总结：
这篇论文就像给正在疯狂扩张的"AI 智能助手”世界做了一次紧急大体检，发现大部分“助手”的保镖（MCP 服务器）都没穿防弹衣，如果不赶紧修补，未来的 AI 应用可能会面临巨大的安全风险。

技术摘要

论文技术总结：MCP-in-SoS：开源 MCP 服务器的风险评估框架

1. 研究背景与问题定义

背景：
模型上下文协议（Model Context Protocol, MCP）是由 Anthropic 于 2024 年 11 月推出的开放标准，旨在通过统一、模型无关的接口，将大语言模型（LLM）智能体与外部工具及数据源连接起来。随着 MCP 生态的迅速扩张，成千上万个开源 MCP 服务器被开发并部署。然而，MCP 改变了智能体系统的安全态势：传统的客户端 - 服务器应用具有固定的调用图，而 MCP 系统中，控制流由智能体的推理循环在运行时编排。这意味着常见的实现缺陷可能被放大，导致跨工具升级路径，进而威胁机密性、完整性和可用性。

问题：
尽管已有研究提出了 MCP 的威胁分类法、缓解措施并演示了实际攻击，但目前尚缺乏对开源 MCP 服务器实现中普遍存在的软件级（代码级）弱点的系统性、大规模评估。现有的研究多侧重于理论架构分析或构建恶意服务器进行攻击测试，缺乏对真实开源代码库中常见弱点（Common Weaknesses）的量化分析。

核心目标：
填补这一空白，构建一个自动化的风险评估框架（MCP-in-SoS），用于检测、量化和优先排序开源 MCP 服务器中的安全弱点，并揭示其如何组合成多阶段攻击链。

---

2. 方法论：MCP-in-SoS 框架

该论文提出了一种四阶段的自动化分析管道，结合静态代码分析、标准化映射和基于元数据的风险评分。

2.1 四阶段处理流程

1. 静态代码分析 (Static Code Analysis)

   • 使用三种分析器对 MCP 服务器仓库快照进行扫描：
     • CodeQL: 用于捕获 Python 项目中经过充分研究的弱点模式（如注入、不安全反序列化）。
     • Joern: 将代码转换为代码属性图（CPG），利用自定义查询（基于 2025 CWE Top 25）检测结构性和数据流弱点。
     • Cisco AI Defender MCP Scanner: 作为辅助，结合规则签名和 LLM 判断，检测可能绕过纯静态规则的风险行为。
   • 输出：候选弱点列表（包含源代码位置和查询来源）。

2. 元数据准备 (Metadata Preparation)

   • 整合 MITRE 的 CWE（常见弱点枚举）和 CAPEC（常见攻击模式枚举与分类）数据库。
   • 提取关键风险因子：
     • CWE: 利用可能性 (Likelihood of Exploit, LE)、常见后果 (Common Consequences, CC)、引入模式 (Mode of Introduction, MI)。
     • CAPEC: 利用攻击可能性 (Likelihood of Attack, LA)、典型严重性 (Typical Severity, TS)。
   • 处理缺失值：通过父子类别映射或交叉引用（如用 CAPEC 的 LA 填补 CWE 的 LE）来补全数据。

3. 归一化 (Normalization)

   • 将不同分析器的输出统一映射到标准的 CWE 标识符。
   • 去重：同一仓库中同一 CWE 仅计数一次。
   • 聚合：计算每个仓库中各 CWE 的出现频率。

4. 风险评分 (Risk Scoring)

   • 弱点级风险指数 ($R(w)$)：基于公式 $Risk = Likelihood \times Impact$ 计算。
     • $Likelihood(w) = LA(w) \cdot LE(w) \cdot MI(w)$
     • $Impact(w) = TS(w) \cdot CC(w)$
     • $R(w) = Likelihood(w) \cdot Impact(w)$
   • 仓库级风险评分：
     • 暴露度 ($R_{exp}$)：频率加权和。
     • 严重性分布 ($R_{rms}$)：频率加权的均方根，强调高风险弱点的存在。
     • 综合评分 ($R_{overall}$)：结合严重性分布与发现数量（对数缩放），最终归一化为 0-100 的分数，并划分为五个风险等级（极低、低、中、高、极高）。

2.2 威胁表面分类

将发现的弱点映射到 MCP 特定的四个威胁表面：

• 协议 (Protocol): 访问控制和传输层问题。
• 资源 (Resource): 敏感数据泄露和配置错误。
• 工具 (Tool): 注入式工具处理器和执行表面。
• 提示 (Prompt): 混淆代理（Confused Deputy）行为导致的提示注入。

---

3. 关键贡献

1. 大规模弱点评估：对 GitHub 上 222 个 公开的 Python MCP 服务器仓库进行了系统性分析。
2. 可复现的自动化管道：构建了一个结合静态分析器（CodeQL, Joern）和 LLM 辅助检查的管道，用于提取、归一化和映射弱点至 CWE 类别。
3. 专用查询集：开发了 54 个基于 Joern 的查询，专门针对 2025 CWE Top 25，用于检测 Python MCP 服务器中的高影响弱点模式。
4. CWE-CAPEC 驱动的风险模型：提出了一种新的评分机制，利用 CWE 和 CAPEC 的元数据生成弱点级和仓库级的风险指标。
5. 威胁表面与攻击链分析：定义了 MCP 对齐的威胁表面分类法，并通过条件共现分析揭示了现实部署中常见的多阶段利用链。

---

4. 实验结果

4.1 数据概况

• 样本量：222 个 Python MCP 服务器仓库（按 Star 数排序，范围 101-38,167）。
• 弱点普遍性：191 个仓库 (86.0%) 至少包含一个映射的弱点。
• 发现总数：共识别出 15,962 个弱点实例，涉及 51 种 不同的 CWE 类别。

4.2 风险分布

• 高频弱点：前 5 种 CWE 占所有发现的 75.7%，包括：
  • CWE-862 (缺少授权，30.4%)
  • CWE-200 (敏感信息泄露，15.9%)
  • CWE-306 (缺少认证，15.3%)
  • CWE-287 (不当认证，7.4%)
  • CWE-89 (SQL 注入，6.7%)
• 高风险类别：尽管某些 CWE 频率较低，但风险指数极高，如 CWE-732 (关键资源权限分配错误，R=100)、CWE-89 (SQL 注入，R=83.3) 和 CWE-863 (不当授权，R=75.0)。
• 仓库风险等级：
  • 高风险 (High): 47.6%
  • 极高风险 (Very High): 18.3%
  • 仅有 0.5% 的仓库被评为“极低风险”。

4.3 威胁表面与攻击链

• 主导表面：协议 (Protocol) 弱点在发现数量 (56.9%) 和风险加权暴露 (57.1%) 中均占主导地位，表明访问控制问题是其他弱点被利用的“倍增器”。
• 条件共现与攻击链：
  • 链 1 (工具利用)：87% 拥有“工具”弱点的仓库同时也存在“协议”弱点。弱访问控制使攻击者能触达工具端点，进而利用注入漏洞。
  • 链 2 (资源暴露)：88% 拥有“资源”弱点的仓库存在“协议”弱点。弱访问控制扩大了敏感数据的可访问范围。
  • 链 3 & 4 (提示驱动)：提示层面的弱点与资源 (94%) 和工具 (78%) 弱点高度共现，表明提示注入往往在弱边界和敏感资源存在的情况下触发多阶段攻击。

---

5. 研究意义与结论

主要发现：
开源 MCP 服务器生态系统中存在广泛且严重的软件级弱点。大多数仓库包含可被利用的缺陷，且这些缺陷很少孤立存在，而是通过“协议”层面的弱点相互连接，形成多阶段攻击链。

意义：

1. 安全设计警示：研究强调了 MCP 服务器开发必须遵循“安全设计”（Secure-by-Design）原则，特别是加强认证、授权和输入验证。
2. 评估标准：提出的 MCP-in-SoS 框架为评估 AI 代理工具链的安全性提供了标准化的方法论。
3. 防御策略：指出单纯关注单一工具或资源是不够的，必须将协议层的访问控制作为防御的核心，以阻断多阶段攻击链。

局限性：

• 分析仅限于 Python 实现的 MCP 服务器，其他语言（如 TypeScript）的分布可能不同。
• 风险评分依赖于 MITRE 的元数据（CAPEC/CWE），这些是通用估计值，可能与特定 MCP 部署环境中的实际风险存在偏差。

伦理与开源：
研究团队遵循道德规范，未发布利用载荷，并向相关项目维护者报告了漏洞。所有分析管道、查询脚本和聚合数据将在 GitHub 上开源，以促进社区复现和进一步研究。