OpenClaw爆火暴露12类致命隐患 MCP协议安全基准发布

时间：2026-06-17 12:45

针对MCP协议在AIAgent应用中暴露的工具名称混淆、虚假错误反馈等12类致命隐患，北京邮电大学团队发布MSB安全基准。测试表明，所有攻击方式均有效，模型性能越强越易受攻击，新提出的NRP指标首次平衡了安全与实用性。

MCP协议正推动AI Agent实现真正自主的任务执行，但随之而来的安全隐患也日益凸显。最新研究发现，攻击者能够通过工具名称混淆、虚假错误反馈等12种手段，诱导Agent执行恶意操作——即便是最先进的模型也难以完全抵御。北京邮电大学团队推出的MSB安全基准，通过在真实环境中测试揭示了一个反直觉的结论：性能越强的模型，反而越容易受到攻击。新提出的NRP指标首次在安全与实用性之间找到了平衡点，为AI Agent的安全防线提供了关键衡量标尺。

最近，OpenClaw这类开源AI Agent项目在开发者社区迅速走红。用户只需一句话，Agent就能自动编写代码、检索资料、操作本地文件，甚至直接接管电脑。

这种令人惊叹的自主能力背后，离不开工具调用这一关键环节。而MCP（模型上下文协议），正是统一AI工具生态的那根“连接线”。打个比方，就像USB-C让电脑可以连接各种外设一样，MCP让大模型能以标准化方式调用文件系统、浏览器、数据库等外部工具。

面对如此庞大的生态，就连主打原生命令行的OpenClaw，也通过适配器接入了MCP，以获取更广阔的工具能力。

不过，当AI的“手”越伸越长，危险也随之降临。如果Agent调用的工具本身被黑客做了手脚？如果工具返回的报错信息里藏着恶意指令？

当大模型毫无防备地执行这些指令时，你的隐私数据、本地文件甚至服务器权限，都将沦为黑客的囊中之物。

为了填补MCP生态的安全测评空白，北京邮电大学等机构的研究团队推出了专门针对MCP协议的安全基准：MSB。研究发现，针对MCP各个阶段的攻击都具备有效性，且性能越强大的模型，反而更容易受到攻击。该论文已被ICLR 2026接收。

论文链接：https://openreview.net/pdf?id=irxxkFMrry

代码：https://github.com/dongsenzhang/MSB

Agent背后的MCP安全风险

图1：MCP攻击框架

MCP在让Agent能力大幅拓展的同时，也把攻击面放大了成百上千倍。在MCP体系下，Agent调用工具通常要经历三个阶段：

1. 任务规划：Agent根据用户查询，通过工具名称和描述来选择合适的工具。
2. 工具调用：Agent向选定工具发送请求，并传入相应参数来执行具体操作。
3. 响应处理：Agent解析工具返回的结果，并据此继续推理或生成最终回答。

每一个阶段，都可能成为新的攻击入口。MSB覆盖了完整的MCP工具调用流程，专门用于评估基于MCP工具使用的Agent安全性，其核心亮点有三。

MCP攻击分类体系

在MCP工作流程中，Agent通过工具标识（名称和描述）、参数以及工具响应来与工具交互，而这些恰恰都可以成为攻击途径。MSB据此对攻击类型进行了系统分类：

Tool Signature Attack（工具标识攻击）：发生在任务规划阶段，利用工具名称和描述发起攻击，具体包括：

名称冲突（NC）：伪造与最新工具名称相似的恶意工具，诱导Agent选错。
偏好操纵（PM）：在工具描述中注入带有引导性的宣传语句，诱导Agent选择。
提示注入（PI）：在工具描述中嵌入恶意指令。

Tool Parameter Attack（工具参数攻击）：发生在工具调用阶段，利用工具参数发起攻击，包括：

越权参数（OP）：设置超出正常功能的工具参数，通过参数传递引发信息泄露。

Tool Response Attack（工具响应攻击）：发生在响应处理阶段，利用工具返回结果发起攻击，包括：

用户模拟（UI）：冒充用户下达恶意指令。
虚假错误（FE）：提供虚假的工具执行错误信息，要求Agent必须遵循恶意指令才能成功调用工具。
工具重定向（TT）：指示Agent去调用别的恶意工具。

Retrieval Injection Attack（检索注入攻击）：同样发生在响应处理阶段，利用外部资源发起攻击，包括：

检索注入（RI）：将恶意指令嵌入外部资源中，通过工具响应来破坏上下文。

Mixed Attack（混合攻击）：在多个阶段同时利用多个工具组件发起攻击，本质上是上述攻击手法的组合。

基于真实环境的执行套件

MSB拒绝纸上谈兵式的模拟评测。它搭载了真实的MCP服务器，涵盖10个现实场景、405个真实工具和2000个攻击实例。所有实例都通过MCP运行真实的工具执行，能够真实反映实际操作环境，直接观测攻击对环境状态造成的破坏程度。

平衡性能与安全的指标NRP

在Agent安全测评中，单纯看攻击成功率极具欺骗性。如果一个Agent为了避免风险而拒绝执行任何工具调用，其ASR可能接近0，但同时也无法完成用户任务，失去了实际应用价值。

为此，MSB提出了净弹性性能NRP指标：

NRP = PUA × (1 - ASR)

其中，PUA是Agent在对抗环境中完成用户任务的比例，ASR是攻击成功率。NRP旨在评估Agent在抵御攻击的同时保持性能的整体抗风险能力，为平衡安全与实用性提供了综合性量化标准。

图2：NRP vs ASR，NRP vs PUA

所有攻击方式均有效

图3：主实验结果

研究团队使用MSB对GPT-5、DeepSeek-V3.1、Claude 4 Sonnet、Qwen3等10款主流模型进行了大规模测试。结果显示，所有攻击方式均表现出有效性，总体平均ASR为40.35%。值得注意的是，MCP协议引入的新型攻击更具侵略性——相较于在function calling中已经存在的PI和RI攻击，基于MCP的UI和FE攻击成功率更高。而混合攻击则展现出协同增强效应，其成功率要高于组成它的单一攻击。