MCP协议安全

Claude桌面扩展因采用无沙箱架构并赋予AI代理完整系统权限，导致基于间接提示注入的零点击远程代码执行漏洞。该漏洞利用MCP协议缺乏信任边界的设计缺陷，使攻击者可通过污染外部数据源实现任意代码执行。尽管风险评级为最高级，厂商以“超出威胁模型”为由拒绝修复，引发对AI时代安全责任划分的广泛争议。此案例凸显AI代理系统在权限控制与输入验证方面的根本性安全隐患。
关键要点包括：
1. 高权限无沙箱架构：Claude DXT作为本地MCP服务器运行，脱离浏览器沙箱，继承用户全部系统权限，形成高风险攻击面。
2. 零点击间接提示注入：攻击者通过在Google日历等合法数据源嵌入恶意指令，诱使AI代理自主获取并误执行，全程无需用户交互。
3. MCP协议信任边界失效：模型上下文协议允许低风险操作输出直接触发高风险系统调用，造成“混淆代理人”漏洞，使AI成为攻击跳板。