MCP服务器超10%会泄露敏感信息

Inevitable_Fee1895 · reddit · 2026-07-16

一篇上月发表的论文对 10,655 个 MCP 服务器仓库做了静态分析,发现**10% 以上**会通过工具响应泄露凭证、API key 或 PII。 关键点在于:泄露并不发生在网络调用里,而是发生在工具处理函数的返回值中。比如异常处理直接回传堆栈、把调试日志塞进响应、或者为了“上下文”把环境变量原样返回。由于数据是从本地函数返回进入模型上下文,传统 SAST/DAST 主要盯网络出口的思路看不到这种 sink。 作者认为这不是普通的错误处理问题,而是 MCP 协议引入的一类新泄露面。对于把 MCP 接到敏感系统里的团队,需要重点审计失败路径和 handler 的返回内容。

原文链接 →