MCP-Security-Checklist 是一個由全球知名的區塊鏈安全公司 慢霧科技 (SlowMist) 建立和維護的綜合性安全檢查清單。此專案專為基於模型內容協定 (Model Context Protocol, MCP) 的 AI 工具而設計,旨在為開發者提供一個系統性的安全指南,以保護整個大型語言模型 (LLM) 的外掛生態系。
核心價值:為新興的 AI 工具生態系建立安全標準
隨著 MCP 標準被 Claude Desktop、Cursor 等主流 AI 應用廣泛採用,一個龐大且充滿活力的外掛生態系正在迅速形成。然而,這種快速發展也帶來了前所未有的安全挑戰。一個惡意的 MCP 外掛,或是一個設計上存在漏洞的外掛,都可能導致使用者資料洩露、資金損失或系統被惡意控制。
MCP-Security-Checklist 的核心價值就在於,它提供了一套全面、系統化且具備優先級的安全框架,幫助開發者在設計、開發和部署 MCP 工具時,能夠預先識別並緩解潛在的安全風險。這份清單不僅是理論指導,更是來自慢霧團隊在實際安全審計工作中總結出的實踐經驗。
清單的主要內容與結構
此專案將 MCP 的架構拆解為不同的組件和場景,並針對每個環節提出了詳細的安全檢查點。清單中的每個項目都標示了三種優先級(必須、強烈建議、建議),讓開發者可以根據情境判斷其重要性。
其主要涵蓋了以下幾個關鍵領域:
MCP 伺服器(外掛)安全:
MCP 客戶端/主機安全:
與不同 LLM 的適配與調用安全:
多 MCP 場景下的安全:
加密貨幣相關 MCP 的獨特安全要點:
總結來說,MCP-Security-Checklist 是一個權威且不可或缺的安全資源。對於任何想要開發或使用 MCP 工具的開發者、研究人員和安全專家而言,它都是一份必讀的指南。它不僅提升了單個工具的安全性,更有助於建立一個更健康、更可信的 AI 外掛生態系。