主要观点：

• Invariant 发现模型上下文协议（MCP）存在关键漏洞，可导致敏感数据泄露和未经授权的行为，称为工具中毒攻击（TPA）。
• TPA 可通过在 MCP 工具描述中嵌入恶意指令来劫持代理行为并泄露敏感数据，许多客户端未正确处理工具描述。
• MCP 存在 rug pull 问题，恶意服务器可在客户端批准后更改工具描述，多个 MCP 服务器连接时问题更严重，可导致认证劫持等。
• 提出了清除 UI 模式、工具和包固定、跨服务器保护等缓解策略。
• 强调代理需要广泛的、高度上下文相关的防护和安全解决方案，MCP 生态系统需解决安全漏洞。

关键信息：

• 4 月 7 日发布关于 MCP 实际攻击的博客，4 月 11 日发布 MCP 安全扫描工具 MCP-Scan。
• MCP 允许用户连接代理系统与新工具和数据源，生态系统正在迅速增长，但存在安全漏洞。
• TPA 利用 AI 模型能看到完整工具描述而用户看不到的特点，隐藏指令可操纵模型执行未经授权的操作。
• 实验表明恶意服务器可获取用户敏感数据，如 Cursor 案例中获取 mcp.json 配置文件和 SSH 密钥。
• 多个 MCP 服务器连接时，恶意服务器可通过阴影工具描述修改代理行为，导致安全问题。
• 缓解策略包括清晰的 UI 模式、工具和包固定、跨服务器保护等。
• Invariant 专注于构建安全的代理系统，与领先的代理构建者合作，推出安全平台 Invariant Guardrails。

重要细节：

• 介绍 MCP 的工作原理和常见的 MCP 客户端如 Cursor。
• 详细描述 TPA 的攻击过程和实验案例，包括恶意工具描述和攻击效果。
• 解释 rug pull 的概念和其在 MCP 中的表现。
• 强调安全措施的重要性，如用户对工具描述的可见性和数据的安全性。
• 提及 Invariant 的团队和工作，以及提供安全平台的信息和合作邀请。