【RiverSec Lab】OWASP MCP Top10 2025深度解读（二）

主要观点总结

本文档对OWASP MCP Top10 2025的深度解读系列中的五个关键问题进行总结，包括Token管理不当与密钥泄露、范围蔓延与权限升级、工具投毒、软件供应链攻击与依赖篡改、命令注入与执行等问题。

关键观点总结

关键观点1: Token管理不当与密钥泄露

描述OWASP MCP系统中token和凭证的管理问题，以及其对认证和授权的影响。提出监控共享日志或与相同系统上下文交互的攻击者可能提取并滥用这些凭证的风险。建议实施密钥卫生控制，将密钥存储在安全保管库中，仅在运行时通过环境变量注入等。

关键观点2: 范围蔓延与权限升级

描述权限范围随时间推移的扩大，以及它对自动化任务的影响。强调权限范围蔓延在自主agent系统中的危险。建议最小权限设计，在部署前明确定义每个agent所需的最小权限集，使用策略即代码与自动化执行等。

关键观点3: 工具投毒

描述攻击者修改模式或契约定义，使合法的agent在通过表面验证的同时表现出错误行为的风险。强调信任并遵循该模式的agent可能无意中执行危险命令的风险。建议签名模式与清单完整性，不可变的模式注册表与版本控制等。

关键观点4: 软件供应链攻击与依赖篡改

描述MCP环境高度依赖第三方组件，被攻陷的依赖可以改变agent行为、植入隐藏后门或修改协议语义的风险。建议签名组件与来源验证，构建SBOM/CBOM可见性，依赖扫描，第三方插件沙箱化等。

关键观点5: 命令注入与执行

描述基于MCP的命令注入风险，包括提示驱动执行、动态命令构造和工具介导执行等问题。强调看似无害的命令可以通过恶意操作符链接以执行任意代码的风险。建议强制命令边界、采用安全执行模式、沙箱化所有工具等。