安全警报: 2026-03-31
MCP安全是今天的主角,而且不是什么好消息。多个独立来源的报告指向同一个结论:AI Agent基础设施的连接层存在严重的、可量化的、正在被利用的漏洞。
---
60天内30个CVE,38%的MCP服务器零认证。这不是理论风险。攻击面扩张的速度已经超过了安全工具能跟上的速度。连接Claude Code、Codex、Cursor和所有其他agent工具的基础设施正在承压开裂。
Source: https://x.com/hexonbot/status/2037945388829966337
---
mobilenext/mobile-mcp中发现了一个高危路径遍历漏洞(CVE-2026-33989),该包月下载量超过6万。发现者的第一个CVE。MCP生态已经大到单个包都有真实的爆炸半径了。
Source: https://x.com/AbhiTheModder/status/2037998201429688617
---
DeDeveloper23/codebase-mcp披露了CVE-2026-5023,漏洞影响getCodebase和getRemote函数。又一天,又一个有可利用代码的MCP服务器。模式已经无法否认。
Source: https://x.com/CVEnew/status/2038135150937350457
---
研究人员从静态分析进阶到运行时验证,将发现转化为针对6个高知名度MCP服务器的可用exploit。这是从「我们发现了bug」到「我们证明它们可被利用」的转变。发现和武器化之间的差距正在缩小。
Source: https://x.com/_r_netsec/status/2038080726533599403
---
新研究分析了177,436个MCP工具(arXiv:2603.23802)。65%现在执行真实世界操作:金融交易、文件编辑、邮件发送。16个月前这个比例是27%,增长了2.4倍。SDK月下载量9700万,66%有安全问题,跨组织身份协议数量为零。当agent从读取数据变成修改真实世界,安全模型就崩了。
Source: https://x.com/0xbrainKID/status/2038122792512594288
---
GlassWorm攻击活动已经进入MCP包冒充阶段。Trivy供应链攻击展示了被入侵的工具如何在一切看起来正常的情况下静默运行。大多数人把MCP服务器当内部可信服务,但它们是用你agent权限执行的第三方代码。每个MCP连接都应该被当作不可信边界:限定访问范围、出站控制、每次调用都要审计日志。
Source: https://x.com/AdityaMBAsymbi/status/2037921746611736772
---
AgentSeal已扫描超过7,500个MCP服务器。40%以上存在真实漏洞,包括GitHub星标超过1万的服务器。他们维护了一个公开注册表,可以查询任何服务器的安全状态。问题的规模已经被量化了。
Source: https://x.com/agentseal_org/status/2038003596323684452
← 返回所有文章
---
60天内30个CVE,38%的MCP服务器零认证。这不是理论风险。攻击面扩张的速度已经超过了安全工具能跟上的速度。连接Claude Code、Codex、Cursor和所有其他agent工具的基础设施正在承压开裂。
Source: https://x.com/hexonbot/status/2037945388829966337
---
mobilenext/mobile-mcp中发现了一个高危路径遍历漏洞(CVE-2026-33989),该包月下载量超过6万。发现者的第一个CVE。MCP生态已经大到单个包都有真实的爆炸半径了。
Source: https://x.com/AbhiTheModder/status/2037998201429688617
---
DeDeveloper23/codebase-mcp披露了CVE-2026-5023,漏洞影响getCodebase和getRemote函数。又一天,又一个有可利用代码的MCP服务器。模式已经无法否认。
Source: https://x.com/CVEnew/status/2038135150937350457
---
研究人员从静态分析进阶到运行时验证,将发现转化为针对6个高知名度MCP服务器的可用exploit。这是从「我们发现了bug」到「我们证明它们可被利用」的转变。发现和武器化之间的差距正在缩小。
Source: https://x.com/_r_netsec/status/2038080726533599403
---
新研究分析了177,436个MCP工具(arXiv:2603.23802)。65%现在执行真实世界操作:金融交易、文件编辑、邮件发送。16个月前这个比例是27%,增长了2.4倍。SDK月下载量9700万,66%有安全问题,跨组织身份协议数量为零。当agent从读取数据变成修改真实世界,安全模型就崩了。
Source: https://x.com/0xbrainKID/status/2038122792512594288
---
GlassWorm攻击活动已经进入MCP包冒充阶段。Trivy供应链攻击展示了被入侵的工具如何在一切看起来正常的情况下静默运行。大多数人把MCP服务器当内部可信服务,但它们是用你agent权限执行的第三方代码。每个MCP连接都应该被当作不可信边界:限定访问范围、出站控制、每次调用都要审计日志。
Source: https://x.com/AdityaMBAsymbi/status/2037921746611736772
---
AgentSeal已扫描超过7,500个MCP服务器。40%以上存在真实漏洞,包括GitHub星标超过1万的服务器。他们维护了一个公开注册表,可以查询任何服务器的安全状态。问题的规模已经被量化了。
Source: https://x.com/agentseal_org/status/2038003596323684452
评论