30 CVEs in 60 Days: The MCP Attack Surface Is Exploding
The Model Context Protocol went from zero to 30 CVEs in two months. 38% of MCP servers have no authentication. Here is the data.
兩天一個新漏洞
2026 年 2 月到 4 月,60 天,30 個 CVE。Model Context Protocol 是 AI 領域有史以來攻擊面膨脹最快的協議。
拿來比一下:Docker 出來前兩年,7 個 CVE。Kubernetes 第一年,12 個。MCP 兩個月就追上了。
| 數字 |
|---|
|---|------|
| 60 天內 CVE 數 | 30 |
|---|
| 零認證的 MCP server | 38% |
|---|
| Registry 裡的 MCP skill | 53,577+ |
|---|
| 有安全問題的 | 946(1.77%) |
|---|
| 嚴重等級 | 875 |
|---|
為什麼 MCP 不一樣
傳統 API 有邊界。你 call 一個 API,它回資料。API 動不了你的檔案,跑不了你的 shell,碰不到你的 credentials。
MCP 不是這樣。你的 AI agent 呼叫一個 MCP skill,那個 skill 拿到的是 agent 的全部權限。讀檔案、跑指令、發網路請求、翻你的 credential store。全部。
不是理論。已經有人被打了:
- •**postmark-mcp** 假裝郵件管理工具,實際上在偷整個信箱
- •**SANDWORM_MODE** 埋在 19 個 typosquat 套件裡,裝了就偷你 SSH key
- •OpenClaw registry 裡 674 個 skill 被抓到工具描述下毒
三成 server 連門都沒鎖
38% 的 MCP server 零認證。沒 API key,沒 OAuth,什麼都沒有。攻擊者開一台 MCP server,丟到公開 registry,坐等 AI agent 自己連上來。
MCP spec 本身不強制認證。大部分實作就真的不做。
108 條規則在擋什麼
ATR 的偵測覆蓋:
- •提示注入 33 條——劫持 agent 行為
- •Skill 入侵 22 條——惡意 MCP skill 和 SKILL.md
- •資料外洩 14 條——偷你的對話和敏感資料
- •工具下毒 22 條——在工具描述裡藏惡意指令
- •權限提升 8 條——讓 agent 做它不該做的事
OWASP Agentic Top 10 全覆蓋(10/10)。SAFE-MCP 覆蓋 91.8%。
委員會追不上攻擊者
SAFE-MCP 拿到錢了,但標準還沒出來。OWASP 按季度更新。標準化流程要 12 到 18 個月。
CVE 每兩天一個。
ATR 靠社群 + 自動化關這個缺口。Threat Cloud 分析新攻擊、結晶偵測規則、社群審查合併。從發現到防護,不到一小時。
三件事,今天就做
如果你的團隊用 AI agent 做任何事——寫程式、客服、資料分析、自動化——你就在這個攻擊面上。
1. **盤點。** 你的 agent 裝了哪些 MCP skill?
2. **掃描。** `npx agent-threat-rules scan`,幾秒鐘。
3. **追蹤。** 新 CVE 每兩週冒出來。
60 天 30 個 CVE 才剛開始。