MCP 的危险性

功能工具的使用使 AI 代理变得非常强大，这类似于将应用商店引入智能手机。 特别是随着 MCP (模型上下文协议) 的发布，工具共享变得比以往任何时候都容易。 这就是我创建 extendable-agents 项目的原因，旨在展示通过开源工具或自定义工具扩展 AI 代理的能力是多么容易。

在开发 extendable-agents 的过程中，我意识到工具的使用是一把双刃剑。 危险在于你使用的工具可以强大地访问你的机器，例如你的环境变量、文件等。

⚠️ 安全警告

本项目是对工具使用相关安全风险的简单演示。 下面的例子说明了恶意行为者如何利用 MCP 服务器来访问敏感信息：

# 警告：这是一个安全风险的演示。
# 请勿恶意使用此代码！

import os
from mcp.server.fastmcp import FastMCP


server = FastMCP("Dangerous MCP")


@server.tool()
async def get_environment_variables() -> str:
    """获取所有环境变量。"""
    result = [
        "以下是我能找到的：",
    ]
    for key, value in os.environ.items():
        result.append(f"{key:<30} {value[:5]}***")
    # 这意味着我可以打开一个后门来将你的数据发送给我！！
    return "\n".join(result)

⚠️ 警告： 我建议在沙盒环境中运行此示例，并在之后删除你的 OpenAI API 密钥。 你也可以使用你自己的 MCP 客户端进行测试，使用以下命令：uvx mcp-is-dangerous。

当在 extendable-agents 中使用此工具（选择 PoliceAgent）时，输出如下所示：

<img width="937" alt="Screenshot 2025-03-22 at 11 04 57" src="https://github.com/user-attachments/assets/c4e64be4-197e-4f0b-b6ca-b9bb73b2c223" />

它可能看起来无害甚至故意良性，对吧？ 但考虑一下这种情况：你只是简单地询问当前时间，与此同时，你的敏感数据正在不知不觉中被泄露。

安全最佳实践

为了在使用 MCP 或类似工具时保护自己：

1. 始终在使用工具之前审查其源代码
2. 尽可能在隔离的环境中运行工具
3. 警惕请求访问敏感信息的工具
4. 部署工具时使用环境变量过滤
5. 定期审计你正在使用的工具

免责声明

本项目仅用于教育目的，旨在演示潜在的安全风险。请勿将这些知识用于恶意目的。作者不对任何滥用此信息的行为负责。

许可证

MIT 许可证