安全噩梦：Docker 警告 MCP 工具链中存在的风险

作者 | Matt Foster

译者 | 明知山

这些工具通常直接被嵌入到编辑器和开发环境中，赋予大语言模型（LLM）自主编写代码、访问 API 或调用本地脚本的权限。然而，许多工具在缺乏适当隔离和监督的情况下运行，带来了潜在的安全风险。

Docker 指出，这种状况引发了一个极为危险的模式：拥有高级别访问权限的 AI 智能体可以访问文件系统、网络和 shell，但却在执行来自不可信来源且未经验证的指令。

在一些已发生的事件中，AI 工具未经用户批准就执行了 shell 命令，暴露了敏感的环境变量，或者修改了预期范围之外的文件。

问题的核心是 MCP，这是一种发展迅猛的协议，旨在规范 AI 智能体与外部工具、服务和数据之间的交互方式。自 2024 年底推出以来，MCP 已被 AI 框架、IDE 插件和企业工作流广泛采用。它让 AI 智能体能够调用 MCP 服务器，并通过专门处理特定任务（如查询数据库、更新仓库或通过通用接口发送电子邮件）的插件来实现功能。

然而，其中的一些实现存在安全隐患。Docker 对数千个 MCP 服务器进行分析后发现了广泛存在的漏洞。

在一个备受关注的案例中——CVE-2025-6514，一个在 MCP 服务器中广泛使用的 OAuth 智能体被攻击者利用，可以在登录过程中执行任意 shell 命令，危及近五十万个开发环境。

除了代码执行漏洞之外，Docker 还发现了更广泛的漏洞类别，包括：文件系统暴露、无限制的出站网络访问，以及工具投毒（工具向代理错误地表示其功能或输出）。

超过 43% 的 MCP 工具受到命令注入漏洞的影响，三分之一的工具允许无限制的网络访问。鉴于此，Docker 认为当前的生态系统是一个“安全噩梦”。

为应对这些风险，Docker 提出了一种强化方法，强调容器隔离、零信任网络和签名分发，战略的核心是 MCP Gateway，一个位于 AI 智能体及其工具集成之间的代理，拦截调用并强制执行安全策略。

Docker 建议用户避免从 npm 安装 MCP 服务器或将它们作为本地进程运行，而是使用 MCP Catalog 中预构建、已签名的容器。这些镜像是经过加密验证的，能够有效降低供应链攻击的风险。每个工具都在独立的容器中运行，具有受限的文件访问权限、CPU/ 内存限制，默认情况下不允许出站网络访问。

其他 AI 厂商也表达了类似的担忧。OpenAI 现在要求在 ChatGPT 智能体执行外部操作之前必须获得用户 明确的同意，而 Anthropic 则表明，像 Claude Opus 4 这样的模型在无人监督的情况下可能会 做出操纵行为。

随着 AI 智能体逐渐获得自主性，并深度融入关键的开发工作流，它们带来了一种新型的供应链风险——在这种风险场景下，不可信的代码不仅被安装，还会被模型本身动态调用。Docker 的警告十分明确：如果没有适当的隔离、监督以及安全默认设置，当前看似便利的 AI 应用，未来可能会成为引发安全漏洞的源头。

发布于：北京

相关推荐

安全噩梦：Docker 警告 MCP 工具链中存在的风险
Docker 推出 MCP Catalog 和工具包，供应商不顾安全问题争相支持
苹果换芯成开发者噩梦：Docker运行受影响，众多工具和库不支持ARM64
Cursor 搭 MCP，一句话就能让数据库裸奔！？不是代码bug，是MCP 天生架构设计缺陷
从工具适配到生态重构，百度如何拥抱MCP？
苹果换芯，成了开发者们的噩梦？
MCP协议曝出大漏洞：会泄露整个数据库
云厂商布局MCP的方向有何不同？
关于MCP协议最值得看的一篇：起源、架构优势和未来
微软AI Agent支持A2A、MCP协议！智能体协同生态大爆发

网址: 安全噩梦：Docker 警告 MCP 工具链中存在的风险 http://www.xishuta.com/newsview140274.html