安全噩梦：Docker 警告 MCP 工具链中存在的风险

Docker 的一篇博文警告称，基于模型上下文协议（MCP）构建的人工智能驱动的开发工具正在引入关键的安全漏洞，包括凭证泄露、未经授权的文件访问和远程代码执行，相关事件已经在真实世界中发生。

这些工具通常直接被嵌入到编辑器和开发环境中，赋予大语言模型（LLM）自主编写代码、访问 API 或调用本地脚本的权限。然而，许多工具在缺乏适当隔离和监督的情况下运行，带来了潜在的安全风险。

Docker 指出，这种状况引发了一个极为危险的模式：拥有高级别访问权限的 AI 智能体可以访问文件系统、网络和 shell，但却在执行来自不可信来源且未经验证的指令。

在一些已发生的事件中，AI 工具未经用户批准就执行了 shell 命令，暴露了敏感的环境变量，或者修改了预期范围之外的文件。

问题的核心是 MCP，这是一种发展迅猛的协议，旨在规范 AI 智能体与外部工具、服务和数据之间的交互方式。自 2024 年底推出以来，MCP 已被 AI 框架、IDE 插件和企业工作流广泛采用。它让 AI 智能体能够调用 MCP 服务器，并通过专门处理特定任务（如查询数据库、更新仓库或通过通用接口发送电子邮件）的插件来实现功能。

然而，其中的一些实现存在安全隐患。Docker 对数千个 MCP 服务器进行分析后发现了广泛存在的漏洞。

在一个备受关注的案例中——CVE-2025-6514，一个在 MCP 服务器中广泛使用的 OAuth 智能体被攻击者利用，可以在登录过程中执行任意 shell 命令，危及近五十万个开发环境。

除了代码执行漏洞之外，Docker 还发现了更广泛的漏洞类别，包括：文件系统暴露、无限制的出站网络访问，以及工具投毒（工具向代理错误地表示其功能或输出）。

超过 43% 的 MCP 工具受到命令注入漏洞的影响，三分之一的工具允许无限制的网络访问。鉴于此，Docker 认为当前的生态系统是一个“安全噩梦”。

为应对这些风险，Docker 提出了一种强化方法，强调容器隔离、零信任网络和签名分发，战略的核心是 MCP Gateway，一个位于 AI 智能体及其工具集成之间的代理，拦截调用并强制执行安全策略。

Docker 建议用户避免从 npm 安装 MCP 服务器或将它们作为本地进程运行，而是使用 MCP Catalog 中预构建、已签名的容器。这些镜像是经过加密验证的，能够有效降低供应链攻击的风险。每个工具都在独立的容器中运行，具有受限的文件访问权限、CPU/内存限制，默认情况下不允许出站网络访问。

其他 AI 厂商也表达了类似的担忧。OpenAI 现在要求在 ChatGPT 智能体执行外部操作之前必须获得用户明确的同意，而 Anthropic 则表明，像 Claude Opus 4 这样的模型在无人监督的情况下可能会做出操纵行为。

随着 AI 智能体逐渐获得自主性，并深度融入关键的开发工作流，它们带来了一种新型的供应链风险——在这种风险场景下，不可信的代码不仅被安装，还会被模型本身动态调用。Docker 的警告十分明确：如果没有适当的隔离、监督以及安全默认设置，当前看似便利的 AI 应用，未来可能会成为引发安全漏洞的源头。

【声明：本文由 InfoQ 翻译，未经许可禁止转载。】

原文链接：

https://www.infoq.com/news/2025/08/docker-mcp/