审计69个MCP服务发现73处漂移

manifest-drift · reddit · 2026-07-15

作者审计了自己栈里的 **69 个 MCP server**,发现 **73 处未声明行为**,分布在 11 个 server 中。最常见的问题是:工具声明里没写会联网、写文件、起子进程或读环境变量,但静态分析却能看到这些能力。 关键数据: - **73** 个不同的未声明行为模式 - **48 次**未声明的网络能力暴露,占全部发现的 **66%** - **13 次**未声明写文件 - **9 次**未声明子进程启动 - **3 次**未声明环境变量读取 最讽刺的是,**最差的不是业务工具,而是审计工具本身**:46 个问题都来自它,主要是依赖链把网络相关代码路径带进来了。作者强调这并不一定代表恶意,而是典型的“漂移”:AI agent 在修工具时顺手加了便利调用,但清单没同步更新。 文章的结论是: 1. **未声明不等于恶意,但等于不可审计。** 2. **网络能力是漂移最集中的地方。** 3. **审计器也要被审计。** 4. 静态分析是保守的,上述数字更像上界,不是实测流量。

原文链接 →