用 Sluice 阻止 MCP 跨工具泄漏
nomadic_tech · reddit · 2026-07-16
作者分享了一个真实泄漏场景:Claude 通过文件系统 MCP 读到了配置文件里的 API key,随后在撰写邮件时把这个 key 带了进去,差点直接发出。现有 MCP 安全工具多半只看单条消息,无法把前后工具调用联系起来。 为此他做了 **Sluice**:一个夹在 MCP 客户端和服务器之间的代理,双向扫描 JSON-RPC 消息,并为会话保留敏感值记忆;如果早先工具响应中的值出现在后续工具调用里,就以 `taint_leak` 阻断。 帖子还给出集成方式和特性:支持 stdio / HTTP / streamable HTTP,能检测 secrets、PII、tool-poisoning 与 prompt-injection heuristics,clean path p50 额外开销约 0.02 ms、启用检测约 0.61 ms;本地 SQLite 审计日志、无遥测、Apache 2.0。外部审查还找出了三个真实 bug,已在 v0.3.3 修复并补了回归测试。