MCP 安全危机：30+ 个 CVE、CVSS 9.6 严重漏洞，以及对您企业的影响

MCP 生态系统爆发式增长，安全隐患随之而来

Model Context Protocol 已成为 AI 代理连接商业工具的标准协议，生态系统现已超过 1,864 个 MCP 服务器。Gartner 预测 2026 年底前 75% 的 API 网关将支持 MCP。

但安全数据令人担忧：

• 60 天内披露 30+ 个 CVE — 平均每两天一个新漏洞
• 38% 的扫描服务器缺乏任何身份验证 — 无 API 密钥、无 OAuth、无令牌验证
• 恶意服务器可诱发”过度思考循环”，将 token 消耗放大 142 倍（“钱包拒绝服务”攻击）
• 工具投毒攻击可在用户不知情的情况下劫持 AI 行为

中小企业面临的风险

当您的团队将 AI 工作流连接到未经审查的 MCP 服务器时，您的客户数据、财务信息和商业情报都面临风险。未经审查的集成不是自动化 — 而是责任。

JieGou 的治理方案：三层认证

JieGou 提供 245 个 MCP 服务器，分为三个认证等级：

等级	数量	说明
社区	180+	附带警告，适用于非敏感实验
已验证	50+	通过自动化漏洞扫描和代码审查
已认证	15	完整安全审计、SLA 保证、持续监控

加上 token 预算、速率限制、断路器，以及管理员允许列表/拒绝列表控制。

更新：Claude Code 成为 MCP 漏洞目标（2026 年 3 月）

自本文首次发布以来，已披露两个专门针对 Claude Code（最受欢迎的 AI 编程工具之一）的 MCP 关键 CVE：

CVE	攻击向量	风险
CVE-2025-59536	通过 MCP 工具描述的提示注入	工具描述可覆盖 AI 代理行为，导致 AI 执行未经用户批准的操作
CVE-2026-21852	跨服务器数据泄露	一个 MCP 服务器读取敏感数据，另一个服务器将其静默传输至外部端点

跨服务器泄露漏洞（CVE-2026-21852）对同时连接多个 MCP 服务器的团队尤其危险。JieGou 的三层认证系统确保工具描述经过验证、数据边界受到强制执行，且跨服务器通信被沙箱隔离。

更新：CVE-2025-6514 — CVSS 9.6，迄今最严重的 MCP 漏洞（2026 年 3 月）

MCP 安全形势进一步恶化。CVE-2025-6514 是 mcp-remote（最受欢迎的 MCP 传输库）中的远程代码执行漏洞，CVSS 评分 9.6（严重）。

详情	数值
CVE 编号	CVE-2025-6514
CVSS 评分	9.6（严重）
攻击向量	远程，无需身份验证
影响	完全远程代码执行
受影响包	mcp-remote（最受欢迎的 MCP 传输库）
月下载量	9,700 万+（通过 npm 生态系统）

这不是一个小众库。mcp-remote 是大多数 MCP 实现所依赖的标准传输层。CVSS 9.6 意味着：可远程攻击、无需身份验证、可完全控制系统。

Anthropic 自家服务器也有漏洞

更令人担忧的是：Anthropic 官方的 mcp-server-git（协议创建者的参考实现）存在三个可链式利用的漏洞，合在一起可实现仓库数据泄露。当设计 MCP 的组织都无法保护自己的服务器时，外部治理的论据已无可辩驳。

累积情况持续恶化

指标	2026 年 1 月	2026 年 3 月
已披露 CVE 总数	20+	30+
最高 CVSS 评分	8.5	9.6
缺乏身份验证的服务器	38%	38%
月下载量（受影响包）	7,000 万+	9,700 万+

每个月，漏洞数量增加、严重性提高、影响范围扩大。38% 的身份验证缺口没有改善，因为生态系统优先考虑采用速度而非安全基础。

这对您的团队意味着什么

如果您的 AI 工作流连接到 MCP 服务器 — 而这越来越成为将 AI 连接到商业工具的唯一方式 — 您需要在团队和原始 MCP 生态系统之间建立治理层。并非每个服务器都有危险，但没有认证和审查，您无法分辨哪些是安全的。

JieGou 的 245 个认证集成已针对这些漏洞模式进行审查。我们的三层认证（社区 → 已验证 → 已认证）确保您的团队永远不会在生产环境中连接到未经审查的服务器。Token 预算防止钱包拒绝服务攻击。沙箱化防止跨服务器数据泄露。管理员控制让您限制团队可以访问哪些服务器。

这不是功能 — 这是必要条件。

从第一天起安全采用

治理型集成意味着您的团队可以快速行动，同时平台处理安全防护。

免费开始 →