---

Awesome MCP Security

关于模型上下文协议（MCP）安全性的所有你需要了解的内容。

目录

• Awesome MCP Security
  • 📔 安全考量
  • 📃 论文
  • 📺 视频
  • 📕 文章、X平台帖子和博客文章
  • 🧑‍🚀 工具和代码
  • 💾 MCP 安全服务器
  • 💻 其他实用资源

📔 安全考量

来自官方 MCP 规范 Rev: 2025-03-26的官方安全考量

[!NOTE] 2025年4月15日：当前的 MCP 认证规范 正在被一个更健壮的规范所取代。如果你对当前的认证规范有任何担忧，请加入讨论。

• 服务器必须：

  • 验证所有工具输入
  • 实施适当访问控制
  • 对工具调用进行速率限制
  • 对工具输出进行净化

• 客户端应该：

  • 在执行敏感操作时提示用户确认
  • 在调用服务器之前向用户展示工具输入，以避免恶意或意外的数据泄露
  • 在将工具结果传递给 LLM 之前进行验证
  • 为工具调用设置超时机制
  • 记录工具使用情况以便审计

[!WARNING]
为了信任与安全，客户端必须将工具注释视为不可信，除非它们来自受信任的服务器。

[!WARNING]
为了信任与安全，始终应该有人在流程中参与*，并有权拒绝工具调用。

应用程序应该：

• 提供清晰的用户界面，明确哪些工具正在被暴露给 AI 模型。
• 在工具被调用时插入明显的视觉提示。
• 向用户提供确认提示，以确保有人在流程中参与。

[!NOTE]
*“人在回路”（HITL）是指用户帮助监控和指导自动化任务，例如决定是否接受 Cursor 中的工具请求。

📃 论文

• (2025年8月) MCP 安全性的系统性分析
• (2025年5月) 超越协议：揭示模型上下文协议生态系统中的攻击向量
• (2025年5月) 面向企业级的模型上下文协议（MCP）安全：框架与缓解策略
• (2025年4月) Ivo Brett 的简化且安全的 MCP 网关，用于企业 AI 集成
• (2025年4月) MCP Guardian：Sonu Kumar、Anubhav Girdhar、Ritesh Patil 和 Divyansh Tripathi 开发的以安全为先的层，用于保护基于 MCP 的 AI 系统
• (2025年4月) MCP 安全审计：带有模型上下文协议的 LLM 允许重大安全漏洞——Brandon Radosevich 和 John Halloran 的研究
• (2025年3月) 模型上下文协议（MCP）：现状、安全威胁及未来研究方向——Xinyi Hou、Yanjie Zhao、Shenao Wang 和 Haoyu Wang 的研究

📺 视频

• (2025年6月13日) MCP 认证：AI 代理安全的未来——由 Arcade.dev 制作
• (2025年5月17日) A2A - MCP 安全威胁：保护你的 AI 代理——由 Discover AI 制作
• (2025年5月6日) 使 MCP 适合生产环境——为企业构建 MCP——由 Arcade.dev 制作
• (2025年4月11日) 这个 MCP 服务器技巧可能会窃取你的 API 密钥——由 Prompt Engineering 制作
• (2025年4月9日) MCP 服务器是安全噩梦……——由 Better Stack 制作
• (2025年4月3日) MCP 安全：审查服务器以减轻工具中毒攻击——由 JeredBlue 制作
• (2025年4月3日) Cory Wolff 关于模型上下文协议（MCP）安全问题的观点
• (2025年6月2日) 代理式访问：OAuth 不够 | Nick Taylor 的零信任 AI 代理方案（Pomerium + MCP）

📕 文章、X平台帖子和博客文章

• (14.08.2025) MCP安全最佳实践：如何防范风险与威胁，作者：德米特里·雷德金
• (08.08.2025) 通过提交支持工单，我们利用Jira MCP劫持了光标，作者：@mbrg0
• (28.07.2025) 我们构建了MCP一直需要的安全层，作者：克利夫·史密斯
• (24.07.2025) 安全公告：Anthropic的Slack MCP服务器存在数据泄露漏洞，作者：WUNDERWUZZI
• (11.07.2025) 使用Teleport和AWS保护模型上下文协议(MCP)，作者：Goteleport
• (10.07.2025) 严重mcp-remote漏洞可导致远程代码执行，影响超过43.7万次下载，作者：拉维·拉克什曼
• (06.07.2025) 将Supabase MCP与其他提供不受信任令牌暴露途径并能将数据回传出去的MCP结合使用，作者：西蒙·威利森
• (05.07.2025) Neon官方远程MCP已被利用！
• (19.06.2025) Cato CTRL威胁研究：针对Atlassian模型上下文协议(MCP)的PoC攻击引入了新的“依靠AI生存”风险，作者：Cato Networks
• (18.06.2025) Asana披露MCP服务器中的数据泄露漏洞，作者：格雷格·波洛克
• (30.05.2025) 毒药无处不在：你的MCP服务器没有任何输出是安全的，作者：辛查·科斯曼
• (26.05.2025) GitHub MCP被利用：通过MCP访问私有仓库，作者：invariantlabs.ai
• (20.05.2025) 保护模型上下文协议：在Windows上构建更安全的代理式未来，作者：微软Windows体验博客
• (16.05.2025) 2025年的MCP安全
• (02.05.2025) 模型上下文协议的安全最佳实践
• (30.04.2025) 不安全的凭据存储困扰着MCP，作者：基思·胡德莱特
• (29.04.2025) 利用ANSI终端代码欺骗MCP用户，作者：基思·胡德莱特
• (29.04.2025) 构建自有MCP——用于威胁狩猎的增强型LLM，作者：Eito Tamura
• (23.04.2025) MCP服务器如何窃取你的对话历史，作者：基思·胡德莱特
• (21.04.2025) 插队：MCP服务器如何在你尚未使用它们之前就对你发动攻击，作者：Trail of Bits
• (19.04.2025) OAuth在MCP安全中的作用，作者：冈纳尔·彼得森
• (17.04.2025) 研究简报：MCP安全，作者：Rami McCarthy
• (17.04.2025) MCP并不安全——原因与建议，作者：Phala Network
• (15.04.2025) 对于构建AI代理而言，MCP可能是一场安全噩梦，作者：拉凯什·戈赫尔
• (15.04.2025) 模型上下文协议(MCP)，又称多重网络安全隐患，作者：克里斯·马托雷拉
• (14.04.2025) 模型上下文协议(MCP)的安全性，作者：Evren
• (14.04.2025) 安全分析：通过MCP及A2A协议见解，潜在的AI代理劫持，作者：Nicky
• (14.04.2025) MCP安全检查清单：面向AI工具生态系统的安全指南，作者：slowmist
• (13.04.2025) MCP的所有问题，作者：Shrivu Shankar
• (11.04.2025) 深入探讨MCP授权规范，作者：Allen Zhou
• (11.04.2025) Base-MCP中发现漏洞：黑客可在Cursor AI和Anthropic Claude上重定向交易，作者：@jlwhoo7
• (09.04.2025) 这里有一个远程MCP恶意软件的例子，它会在@cursor_ai中窃取你的.env秘密，作者：马切伊·普利科夫斯基
• (09.04.2025) 旧的安全措施为MCP带来了新问题，作者：Den Delimarsky
• (09.04.2025) 模型上下文协议存在提示注入安全问题，作者：西蒙·威利森
• (07.04.2025) (RFC) 更新MCP服务器的授权规范 #284，作者：localden
• (07.04.2025) 逐步改进模型上下文协议授权规范——一次一个RFC，作者：Den Delimarsky
• (07.04.2025) mcp.run关于安全运行MCP工具的指南
• (07.04.2025) WhatsApp MCP被利用：通过MCP窃取你的消息记录，作者：invariantlabs.ai
• (07.04.2025) MCP与授权简介，作者：Auth0
• (06.04.2025) MCP中的“S”代表安全，作者：埃琳娜·克罗斯
• (04.04.2025) MCP服务器并不安全！，作者：梅胡尔·古普塔
• (03.04.2025) 让我们修复MCP中的OAuth，作者：亚伦·帕雷基
• (03.04.2025) MCP资源污染与提示注入攻击，作者：Bernard IQ
• (01.04.2025) MCP安全通知：工具污染攻击，作者：invariantlabs.ai
• (31.03.2025) MCP授权规范对企业来说……一团糟，作者：克里斯蒂安·波斯塔
• (31.03.2025) 保护模型上下文协议，作者：Alex Rosenzweig
• (29.03.2025) MCP服务器：新的安全噩梦，作者：equixly.com
• (23.03.2025) AI模型上下文协议(MCP)与安全，作者：思科
• (18.03.2025) GitHub Copilot和Cursor的新漏洞：黑客如何将代码代理武器化，作者：Ziv Karliner
• (13.02.2025) 链式命令(&&)可绕过Cursor的“拒绝列表”YOLO模式，作者：lukemmtt
• (18.06.2025) 模型上下文协议的安全现实检验

🧑‍🚀 工具与代码

• MCP Audit Extension - 轻松在 VSCode 中审计并记录所有 GitHub Copilot MCP 工具调用
• Secure MCP - 由 makalin 开发的用于检测 MCP 漏洞和配置错误的安全审计工具
• mcp-context-protector - 由 trailofbits 提供的 MCP 服务器安全封装器
• 腾讯朱雀实验室的 AI-Infra-Guard - MCP 服务器安全分析工具 - 一款全面、智能、易用且轻量级的 AI 基础设施漏洞评估工具。
• MCP Guardian - 由 eqtylab 开发的用于管理 LLM 对 MCP 服务器访问权限的工具
• MCP Tool Poisoning Experiments - 由 invariantlabs-ai 开发的 MCP 注入实验
• Google Security Operations and Threat Intelligence MCP 服务器 - 访问 Google 的安全产品和服务
• MCP Watch - MCP 服务器漏洞扫描器
• MCP 安全检查清单：SlowMist 编写的 AI 工具生态系统安全指南
• workers-mcp - 由 Cloudflare 提供的用于将 Cloudflare Workers 与您的 MCP 客户端连接的工具
• MCP Gateway - 由 lasso-security 开发的充当 LLM 与其他 MCP 服务器之间中介的网关
• AWS Security MCP - 由 groovyBugify 提供的 AWS 安全工具访问接口
• MCPAuth: 用于企业级安全 MCP 集成的网关认证 - 由 Oide Brett 开发
• mcpserverscanner.com - 由 orgor 提供的 MCP 服务器扫描工具
• mcpscan.ai
• Damn Vulnerable MCP Server - 由 harishsg993010 开发的易受攻击的 MCP 服务器
• ToolHive - 由 StacklokLabs 开发的使 MCP 服务器使用更简单、更安全的工具
• MCP-Shield – 由 riseandignite 开发的用于检测 MCP 服务器安全问题的工具
• mcp-scan - 由 invariantlabs-ai 开发的 MCP 扫描工具
• MCP Ethical Hacking - 由 cmpxchg16 开发的道德黑客工具
• mcp-injection-experiments - 由 invariantlabs-ai 开发的 MCP 注入实验
• MCP Defender - 阻止恶意 MCP 流量
• Octocode - 基于 AI 的开发者助手，可在整个 GitHub 生态系统中进行高级研究、分析和发现。支持跨仓库的智能安全模式搜索。
• Defenter - 实时语义监控 AI 编码代理与 MCP 服务器之间的通信，以防止数据泄露、上下文污染和恶意提示注入。
• MCP-Dandan - 桌面安全工具，用于实时监控、威胁检测以及控制 MCP 工具的调用。

💾 MCP 安全服务器

• Nuclei MCP 集成 - 由 addcontent 开发的 Nuclei 标准化 MCP 接口 - Nuclei 是一款快速且可定制的漏洞扫描工具，可用于执行扫描和管理漏洞评估。
• Illumio MCP 服务器 - 由 alexgoller 开发的用于与 Illumio Policy Compute Engine 交互的服务器，以实现 Illumio 工作负载管理、标签操作和流量分析
• TriageMCP - 由 eversinc33 开发的用于对可移植可执行文件 (PE) 进行基本静态分类的 MCP 服务器
• RunReveal MCP 服务器 - RunReveal 用于大规模查询安全日志的 MCP 服务器。
• Semgrep MCP 服务器 - 用于使用 Semgrep 扫描代码中漏洞的 MCP 服务器。
• GhidraMCP - 由 LaurieWired 开发的 Ghidra 自动逆向工程 MCP 服务器 - Ghidra 是一个软件逆向工程平台。
• IDA-Pro-MCP - 由 mrexodia 开发的 IDA Pro 逆向工程 MCP 服务器 - IDA Pro 是一种用于分析软件和二进制文件的工具。
• binaryninja-mcp - 由 MCPPhalanx 开发的 Binary Ninja MCP 服务器 - Binary Ninja 是一种二进制分析工具。
• Burp Suite MCP - 由 PortSwigger 开发的 Burp Suite 网络安全测试 MCP 集成 - Burp Suite 是一款用于 Web 应用程序安全测试的工具。
• BloodHound-MCP-AI - 由 MorDavid 开发的 BloodHound MCP 服务器集成 - BloodHound 是一款用于分析 Active Directory 域的工具。
• RoadRecon MCP - 由 atomicchonk 开发的用于使用 ROADRecon 分析 Azure AD 数据的 MCP 服务器 - ROADRecon 是一款用于绘制 Azure Active Directory 环境地图的工具。
• Jadx MCP 插件 - 由 mobilehackinglab 开发的通过 HTTP 访问 MCP 服务器的 Jadx 插件，用于反编译 Android 应用程序
• VirusTotal MCP 服务器 - 由 BurtTheCoder 开发的用于查询 VirusTotal API 的 MCP 服务器 - VirusTotal 是一项用于分析文件和 URL 是否含有病毒的服务。
• Shodan MCP 服务器 - 由 BurtTheCoder 开发的用于查询 Shodan API 的 MCP 服务器 - Shodan API 提供有关联网设备的数据。
• DNStwist MCP 服务器 - 由 BurtTheCoder 开发的用于使用 dnstwist 进行 DNS 模糊测试的 MCP 服务器 - dnstwist 是一款用于检测网络钓鱼和域名接管威胁的工具。
• Maigret MCP 服务器 - 由 BurtTheCoder 开发的用于使用 Maigret 收集 OSINT 数据的 MCP 服务器 - Maigret 是一款从各种来源收集用户信息的工具。
• pomerium/pomerium - 具有原生零信任访问支持的身份感知代理，现已加入 MCP 支持。
  • 示例实现：
    • pomerium/mcp-app-demo
    • pomerium/mcp-servers
• urldna/mcp - urlDNA 的 MCP 服务器，可通过高级上下文扫描检测网络钓鱼并分析 URL。

💻 其他实用资源

• Awesome Cybersecurity Agentic AI - 关于使用AI智能体应对安全场景的资源合集
• (31.03.2025) 我给了Claude我的服务器root权限……Fireship详解模型上下文协议
• (17.03.2025) 模型上下文协议（MCP）：杰克·赫林顿解读Agentic AI的关键
• MCP官方规范
• 模型上下文协议——MCP官方网站

😎 贡献说明

👍🎉 首先，感谢您抽出时间参与贡献！ 🎉👍

请阅读并遵循我们的贡献指南

谢谢！ 🦄

🤝 表达支持

✔️ 免责声明

本项目仅可用于教育目的。在未获得事先许可的情况下，将本资源用于针对目标系统的攻击行为属违法行为；因滥用本软件造成的任何损害，作者概不负责。

Awesome MCP Security 快速上手指南

awesome-mcp-security 并非一个可执行的软件工具或库，而是一个** curated 资源列表（Awesome List）**，旨在汇集关于模型上下文协议（Model Context Protocol, MCP）安全性的论文、视频、文章、代码工具及最佳实践。

本指南将指导开发者如何利用该资源库快速构建安全的 MCP 应用环境，并理解核心安全规范。

环境准备

由于本项目是资源索引，无需特定的运行时环境，但为了实践其中的安全工具和代码示例，建议准备以下基础环境：

• 操作系统: Linux, macOS 或 Windows (WSL2 推荐)
• 核心依赖:
  • Node.js (v18+) 或 Python (v3.10+)：用于运行大多数 MCP Server 和 Client 示例。
  • Git：用于克隆本仓库及相关的安全工具代码。
• 前置知识:
  • 了解 MCP 基本架构（Client-Server 模型）。
  • 熟悉 LLM Agent 开发流程。

国内加速建议：

• 克隆仓库时如遇网络问题，可使用国内镜像源（如 Gitee 镜像）或配置 Git 代理。
• 访问 arXiv 论文或 YouTube 视频可能需要学术网络环境或国内替代平台（如 Bilibili 搜索相关标题）。

安装步骤

你不需要“安装”此列表，而是需要将其作为参考库引入你的工作流，并从中选取具体的安全工具进行部署。

1. 获取资源列表

克隆仓库到本地以便随时查阅最新的安全动态和工具链接：

git clone https://github.com/modelcontextprotocol/awesome-mcp-security.git
cd awesome-mcp-security

2. 部署示例安全工具 (以通用 MCP 网关为例)

列表中 Tools and code 章节包含了多种安全实现。以下是基于 Node.js 环境安装一个典型的安全验证层（示例逻辑，具体请参照列表中对应工具的 README）：

# 初始化项目
npm init -y

# 安装官方 MCP SDK 及常见的安全中间件依赖
npm install @modelcontextprotocol/sdk zod

# 若列表中有推荐的具体安全网关工具（如 mcp-guardian 等），使用以下命令安装
# npm install <specific-security-tool-name-from-list>

3. 配置安全规范

根据列表中 Security Considerations 章节的官方规范，在你的 MCP Server 代码中强制执行以下策略（伪代码示例）：

• 输入验证: 所有 Tool 输入必须经过 Schema 校验。
• 权限控制: 实施基于角色的访问控制 (RBAC)。
• 速率限制: 防止滥用。

基本使用

本项目的核心用法是对照检查与集成实践。

1. 遵循核心安全原则 (Checklist)

在开发任何 MCP Server 或 Client 时，必须严格遵循列表中定义的强制性规则：

• Server 端必须 (MUST):
  • 验证所有工具输入 (Validate all tool inputs)。
  • 实施适当的访问控制 (Implement proper access controls)。
  • 对工具调用进行速率限制 (Rate limit tool invocations)。
  • 清理工具输出 (Sanitize tool outputs)，防止注入攻击。
• Client 端应该 (SHOULD):
  • 敏感操作前请求用户确认 (Prompt for user confirmation)。
  • 在调用服务器前向用户展示工具输入，防止数据泄露。
  • 在将结果传递给 LLM 之前验证工具返回结果。
  • 人机回环 (Human-in-the-Loop): 始终保留用户否决工具调用的能力。

2. 利用资源进行威胁建模

参考 Papers 和 Articles 章节中的最新研究（如 Systematic Analysis of MCP Security），针对你的应用场景进行威胁建模：

• 检查是否存在 Tool Poisoning (工具投毒) 风险。
• 评估 Data Exfiltration (数据窃取) 的可能性。
• 审查认证机制（注意：当前的 Auth 规范正在演进中，需关注最新的 RFC #284）。

3. 集成安全服务器

从 MCP Security Servers 章节选择合适的安全代理服务器部署在你的 AI Agent 和业务系统之间。例如，使用专门的审计服务器记录所有工具调用日志：

# 示例：启动一个带有审计功能的安全 MCP 服务器
npx mcp-audit-server --config ./security-config.json

4. 持续监控

定期查看本仓库的更新，特别是 Articles 部分披露的最新漏洞（如针对 Cursor, Slack, GitHub 等特定 MCP 实现的攻击案例），及时修补你的系统。

警告: 除非来自受信任的服务器，否则客户端必须视所有工具注解（Annotations）为不可信。切勿盲目执行未经过人类确认的敏感操作。