MCPwned 危機爆發:60 天 30 個 CVE 的全面衝擊
2026 年初,資安社群見證了 Model Context Protocol(MCP)生態系最嚴重的安全危機。在短短 60 天內(2026 年 1-2 月),安全研究人員提交了超過 30 個針對 MCP 伺服器的 CVE(Common Vulnerabilities and Exposures),涵蓋從路徑遍歷(Path Traversal)到 CVSS 9.6 嚴重性的遠端代碼執行(Remote Code Execution, RCE)漏洞。這些漏洞影響了累計下載量近 50 萬次的熱門套件,企業部署的 MCP 伺服器面臨前所未有的攻擊面。
根據國際商會(International Chamber of Commerce, ICC)發布的數位貿易安全報告指出,類似 MCP 的AI 延伸框架在企業採用率快速增長的同時,供應鏈安全風險也同步攀升。這一趨勢在 MCPwned 事件中得到了驗證——攻擊者不再滿足於傳統 Web 應用漏洞,而是直接瞄準 AI 系統的延伸介面。
關鍵漏洞深度解析:CVE-2026-26118 與 CVSS 9.6 RCE
2026 年 3 月 10 日,Microsoft 緊急修補了 CVE-2026-26118,這是 Azure MCP 伺服器工具系列的嚴重 SSRF(Server-Side Request Forgery)漏洞,CVSS 評分 8.8。該漏洞允許攻擊者透過特製請求操控 MCP 伺服器向內部服務發起請求,從而竊取認證 token 並獲得 Azure 資源的未授權存取。
更具殺傷力的是代號「MCPwned」的研究發現——安全研究員 Ariel Simon 在 RSAC 2026 大會上展示,攻擊者可利用 RCE 漏洞完全入侵雲端環境。這些漏洞的共同特徵在於:MCP 伺服器預設過度信任客戶端輸入,缺乏嚴格的權限邊界控制。
攻擊向量分析:工具投毒與路徑遍歷
MCPwned 事件揭示了三種主要攻擊向量:
- SSRF 伺服器端請求偽造:如 CVE-2026-26118,攻擊者繞過防火牆存取內部元資料服務
- 路徑遍歷:攻擊者透過 ../ 序列存取伺服器檔案系統任意位置
- 工具投毒(Tool Poisoning):惡意 MCP 伺服器注入虛假工具描述,直接操控 AI 代理的行為決策
其中工具投毒特別值得關注。根據經濟合作暨發展組織中小型企業部門(OECD Small and Medium Enterprises, SMEs)的數位安全報告,中小企業在採用 AI 工具時往往缺乏足夠的安全審查能力,成為此類攻擊的弱點目標。
Triple-gate 防禦架構:企業實作指南
面對 MCPwned 危機,企業需要建立多層次防禦體系。以下是經過驗證的 Triple-gate 防禦架構:
第一閘道:強制權限限制
# 範例:MCP 伺服器權限隔離配置
{
"server_config": {
"sandbox_mode": "strict",
"allowed_paths": ["/var/mcp/approved/*"],
"deny_all_other_access": true,
"max_file_size_mb": 50
}
}第二閘道:超時控制與成本上限
# 範例:請求超時與預算控制
{
"security": {
"request_timeout_seconds": 30,
"max_requests_per_minute": 100,
"cost_limit_usd_per_day": 50
}
}第三閘道:輸入驗證與簽名工具
在標準化稽核框架成熟前,企業應實施:
- 對所有工具描述進行語義驗證
- 記錄完整的工具呼叫審計日誌
- 部署異常行為偵測系統
逐步修補行動計劃
立即採取以下步驟:
- 盤點資產:識別所有部署的 MCP 伺服器版本
- 套用修補:優先修補 CVE-2026-26118 及 CVSS 9.6 漏洞
- 網段隔離:將 MCP 伺服器部署於專用 VLAN,嚴格限制網路存取
- 監控部署:建立 MCP 流量異常警報機制
根據國際貿易中心(International Trade Centre, ITC)的中小企業競爭力報告,系統性資安回應流程可將資安事件損失降低 60% 以上。
