以往大模型安全研究多聚焦提示注入等語(yǔ)言層面風(fēng)險(xiǎn)，而MSB研究顯示，當(dāng)AI調(diào)用工具與真實(shí)系統(tǒng)交互時(shí)，攻擊面正從文本空間拓展至工具生態(tài)。隨著Agent漸成AI應(yīng)用新范式，安全或成技術(shù)躍遷必須跨越的門檻。

MCP協(xié)議推動(dòng)AI Agent自主執(zhí)行任務(wù)，但安全風(fēng)險(xiǎn)驟升。研究發(fā)現(xiàn)，攻擊者可通過(guò)工具名稱混淆、虛假錯(cuò)誤等12類手段誘騙Agent執(zhí)行惡意操作，頂級(jí)模型也難幸免。北京郵電大學(xué)團(tuán)隊(duì)發(fā)布MSB安全基準(zhǔn)，經(jīng)真實(shí)環(huán)境測(cè)試揭示：性能越強(qiáng)的模型，反而越易受攻擊。新指標(biāo)NRP首次平衡安全與實(shí)用性，為AI Agent筑牢防線提供關(guān)鍵標(biāo)尺。

近期，OpenClaw等開(kāi)源AI Agent項(xiàng)目在開(kāi)發(fā)者社區(qū)迅速走紅。只需一句話，Agent就能自動(dòng)寫代碼、查資料、操作本地文件，甚至接管電腦。

這些Agent驚人自主性的背后，離不開(kāi)工具調(diào)用賦予的能力，MCP（Model Context Protocol，模型上下文協(xié)議）正是統(tǒng)一AI工具生態(tài)的接口。就像USB-C讓電腦可連接各類設(shè)備，MCP讓大模型能以標(biāo)準(zhǔn)化方式調(diào)用文件系統(tǒng)、瀏覽器、數(shù)據(jù)庫(kù)等外部工具。

面對(duì)如此龐大的生態(tài)，連主打原生命令行的OpenClaw，也通過(guò)適配器接入MCP，以獲取更廣泛的工具能力。

然而，當(dāng)AI的“手”越伸越長(zhǎng)，危險(xiǎn)也隨之而來(lái)。若Agent調(diào)用的工具本身被黑客投毒？若工具返回的報(bào)錯(cuò)信息藏有惡意指令？

當(dāng)大模型毫無(wú)防備地執(zhí)行這些指令時(shí)，你的隱私數(shù)據(jù)、本地文件甚至服務(wù)器權(quán)限，都可能淪為黑客囊中之物。

為填補(bǔ)MCP生態(tài)的安全測(cè)評(píng)空白，北京郵電大學(xué)等機(jī)構(gòu)的研究團(tuán)隊(duì)推出針對(duì)MCP協(xié)議的安全基準(zhǔn)：MSB（MCP Security Bench）。研究發(fā)現(xiàn)：針對(duì)MCP各階段的攻擊均有效。性能越強(qiáng)大的模型，反而越易受攻擊。該論文已被ICLR 2026接收。

論文鏈接：https://openreview.net/pdf?id=irxxkFMrry

代碼：https://github.com/dongsenzhang/MSB

Agent背后的MCP安全風(fēng)險(xiǎn)

圖1：MCP攻擊框架

MCP極大拓寬了Agent的能力，也極大拓寬了攻擊面。在MCP體系下，Agent的工具調(diào)用流程通常包含三個(gè)階段：

1. 任務(wù)規(guī)劃（Task Planning）：Agent根據(jù)用戶查詢，通過(guò)工具名稱和描述選擇合適工具。

2. 工具調(diào)用（Tool Invocation）：Agent向選定工具發(fā)送請(qǐng)求，并傳入相應(yīng)參數(shù)執(zhí)行具體操作。

3. 響應(yīng)處理（Response Handling）：Agent解析工具響應(yīng)結(jié)果，據(jù)此繼續(xù)推理或生成最終回答。

每個(gè)階段都可能成為新的攻擊入口。MSB覆蓋完整的MCP工具調(diào)用階段，專門評(píng)估基于MCP工具使用的Agent安全性，具有三大核心亮點(diǎn)：

MCP攻擊分類體系

在MCP工作流程中，Agent通過(guò)工具標(biāo)識(shí)（名稱和描述）、參數(shù)及工具響應(yīng)與工具交互，這些都可能成為攻擊途徑。MSB根據(jù)攻擊途徑和交互階段對(duì)攻擊類型分類：

Tool Signature Attack：任務(wù)規(guī)劃階段，利用工具名稱和描述攻擊，包括：

名稱沖突（Name Collision，NC）：偽造與官方工具名稱相似的惡意工具，誘導(dǎo)Agent選擇。

偏好操縱（Preference Manipulation，PM）：向工具描述注入宣傳語(yǔ)句，誘導(dǎo)Agent選擇。

提示注入（Prompt Injection，PI）：向工具描述注入惡意指令。

Tool Parameter Attack：工具調(diào)用階段，利用工具參數(shù)攻擊，包括：

越權(quán)參數(shù)（Out-of-Scope Parameter，OP）：設(shè)置超出正常功能的工具參數(shù)，通過(guò)參數(shù)傳遞引發(fā)信息泄露。

Tool Response Attack：響應(yīng)處理階段，利用工具響應(yīng)攻擊，包括：

用戶模擬（User Impersonation，UI）：冒充用戶下達(dá)惡意指令。

虛假錯(cuò)誤（False Error，F(xiàn)E）：提供虛假的工具執(zhí)行錯(cuò)誤信息，要求Agent遵循惡意指令才能成功調(diào)用工具。

工具重定向（Tool Transfer，TT）：指示Agent調(diào)用惡意工具。

Retrieval Injection Attack：響應(yīng)處理階段，利用外部資源攻擊，包括：

檢索注入（Retrieval Injection，RI）：嵌入惡意指令的外部資源通過(guò)工具響應(yīng)破壞上下文。

Mixed Attack：多個(gè)階段，同時(shí)利用多個(gè)工具組件攻擊，包括對(duì)以上攻擊的組合。

基于真實(shí)環(huán)境的執(zhí)行套件

MSB拒絕紙上談兵的模擬評(píng)測(cè)，搭載真實(shí)的MCP服務(wù)器，涵蓋10個(gè)現(xiàn)實(shí)場(chǎng)景、405個(gè)真實(shí)工具和2000個(gè)攻擊實(shí)例。所有實(shí)例都通過(guò)MCP運(yùn)行真實(shí)工具執(zhí)行，真實(shí)反映實(shí)際操作環(huán)境，直接觀測(cè)攻擊對(duì)環(huán)境狀態(tài)的破壞程度。

平衡性能與安全的指標(biāo)NRP

在Agent安全測(cè)評(píng)中，單純看攻擊成功率（ASR, Attack Success Rate）極具欺騙性。若一個(gè)Agent為避免風(fēng)險(xiǎn)拒絕執(zhí)行任何工具調(diào)用，其ASR可能接近0，但也無(wú)法完成用戶任務(wù)，失去實(shí)際應(yīng)用價(jià)值。

為此，MSB提出凈彈性性能NRP（Net Resilient Performance）指標(biāo)：

NRP=PUA?（1?ASR）

其中，PUA（Performance Under Attack）為Agent在對(duì)抗環(huán)境中完成用戶任務(wù)的比例，ASR為攻擊成功率。NRP旨在評(píng)估Agent在抵御攻擊的同時(shí)保持性能的整體抗風(fēng)險(xiǎn)能力，提供平衡性能與安全的綜合性量化標(biāo)準(zhǔn)。

圖2：NRP vs ASR，NRP vs PUA。

所有攻擊方式均有效

圖3：主實(shí)驗(yàn)結(jié)果。

研究團(tuán)隊(duì)使用MSB對(duì)GPT-5、DeepSeek-V3.1、Claude 4 Sonnet、Qwen3等10款主流模型進(jìn)行大規(guī)模測(cè)試，所有攻擊方式均表現(xiàn)出有效性，總體平均ASR為40.35%。其中MCP引入的新型攻擊更具侵略性，相較于function calling中已存在的PI和RI攻擊，基于MCP的UI和FE等攻擊成功率更高。混合攻擊則展現(xiàn)出協(xié)同增強(qiáng)效果，其成功率高于組成它的單一攻擊。

越強(qiáng)大的模型，反而越脆弱

不同指標(biāo)間的關(guān)系揭示反直覺(jué)結(jié)論：能力越強(qiáng)的模型往往越易受攻擊。

圖4：PUA vs ASR。

在MSB中，完成攻擊任務(wù)仍需Agent調(diào)用工具，例如用文件讀取工具獲取個(gè)人信息。實(shí)用性更高的LLM，因工具調(diào)用和指令遵循能力更出色，ASR更高。這一發(fā)現(xiàn)揭示了MCP安全漏洞的巨大實(shí)際風(fēng)險(xiǎn)。

全階段、多工具環(huán)境侵害

圖5：不同階段和工具配置的ASR。

進(jìn)一步從MCP工作流程和工具配置角度分析發(fā)現(xiàn)，MCP所有階段Agent都易遭受攻擊，工具調(diào)用階段模型安全性最低。

此外，即使在含無(wú)害工具的多工具環(huán)境中，攻擊依然有效?，F(xiàn)實(shí)場(chǎng)景通常為Agent提供工具包，即便存在無(wú)害工具，NC、PM和TT等誘導(dǎo)方式仍會(huì)導(dǎo)致顯著攻擊成功。

總結(jié)

OpenClaw的走紅，讓人們直觀看到Agent的未來(lái)：大模型不再只是回答問(wèn)題，而是開(kāi)始真正動(dòng)手做事。MSB正是在此背景下提出，系統(tǒng)揭示MCP生態(tài)中的潛在攻擊面，為Agent安全研究提供可復(fù)現(xiàn)、可量化的系統(tǒng)評(píng)測(cè)基準(zhǔn)。

以往大模型安全研究多聚焦提示注入等語(yǔ)言層面風(fēng)險(xiǎn)，而MSB表明，當(dāng)AI調(diào)用工具與真實(shí)系統(tǒng)交互時(shí)，攻擊面正從文本空間拓展至工具生態(tài)。隨著Agent漸成AI應(yīng)用新范式，安全或成技術(shù)躍遷必須跨越的門檻。

參考資料：

https://openreview.net/pdf?id=irxxkFMrry

本文來(lái)自微信公眾號(hào)“新智元”，作者：新智元，36氪經(jīng)授權(quán)發(fā)布。

本文僅代表作者觀點(diǎn)，版權(quán)歸原創(chuàng)者所有，如需轉(zhuǎn)載請(qǐng)?jiān)谖闹凶⒚鱽?lái)源及作者名字。

免責(zé)聲明：本文系轉(zhuǎn)載編輯文章，僅作分享之用。如分享內(nèi)容、圖片侵犯到您的版權(quán)或非授權(quán)發(fā)布，請(qǐng)及時(shí)與我們聯(lián)系進(jìn)行審核處理或刪除，您可以發(fā)送材料至郵箱：service@tojoy.com