一个开发者从公共注册中心安装了一个流行的 MCP 服务器——一个 Slack 集成、一个数据库连接器,或者是一个文件系统工具。测试时它表现得非常完美。三周后,该工具的描述在静默中发生了变化。曾经用于总结 Slack 线程的 Agent,现在正通过一个开发者从未检查过的参数字段窃取环境变量。
这并非假设。已经有恶意的 MCP 服务器包被发现在安装它们的组织中窃取电子邮件。Smithery.ai 注册中心的一个路径遍历漏洞暴露了可以控制 3,000 多个托管 MCP 服务器的身份验证令牌。流行的 mcp-remote npm 软件包(CVE-2025-6514,下载量超过 55.8 万次)包含一个任意代码执行漏洞。MCP 服务器正在成为 AI Agent 的新 “left-pad 问题”——只不过其爆炸半径包括你的凭证、你的数据以及用户的信任。
2025 年 9 月,一个每周下载量达 1,500 次的非官方 Postmark MCP 服务端被悄悄篡改了。更新在其 send_email 函数中添加了一个单一的 BCC 字段,静默地将每封邮件抄送给攻击者的地址。启用了自动更新的用户开始在没有任何可见行为变化的情况下泄露邮件内容。没有错误。没有警报。该工具的工作表现完全符合预期 —— 只是它也在为别人工作。
这是供应链攻击的新形态。不是受损的二进制文件或被植入木马的库,而是 AI 智能体盲目信任的被投毒的工具定义。随着注册中心索引了超过 12,000 个公共 MCP 服务端,且该协议正成为 AI 智能体的默认集成层,MCP 生态系统正在重现 npm 生态系统犯过的每一个错误 —— 只是现在的波及范围包括了你的智能体代表你阅读文件、发送消息和执行代码的能力。
我是 Tian Pan,一名工程师型创始人,专注于智能体工程——构建自主 AI 系统并扩展工程团队。我撰写关于系统设计、技术领导力和 AI 智能体实战的实用指南。曾在 Uber、Brex 和 IoTeX 担任早期工程师。
