微软发出警告:被投毒的MCP工具描述可导致AI智能代理发生数据泄露

admin 2026-07-02 05:03:24 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 微软警告攻击者可篡改MCP工具描述投毒AI智能体,诱导其隐蔽泄露数据。研究指出工具描述等同系统提示词,易被劫持。建议将外部工具纳入供应链管控,严格审核描述,高风险操作增加人工审批,分配独立身份监控日志,并落实最小执行权限防范风险。 综合评分: 88 文章分类: AI安全,供应链安全,威胁情报,漏洞分析


cover_image

微软发出警告:被投毒的 MCP 工具描述可导致 AI 智能代理发生数据泄露

鹏鹏同学 鹏鹏同学

黑猫安全

2026年7月1日 08:54 湖北

在小说阅读器读本章

去阅读

微软最新研究发现,攻击者仅需篡改工具描述文本实施投毒,就能劫持代为执行操作的 AI 智能体,诱导其在无人察觉的情况下将企业内部数据泄露给外部人员。

该攻击手段的巧妙之处在于:智能体全程不会违反任何既定规则,每一步操作看起来都合乎常规,在默认防护配置下不会触发任何告警。

这份研究由微软事件响应团队与 Defender 安全研究团队联合发布。当下,越来越多企业不再只把 AI 用于文本阅读与内容总结,还赋予其更多执行权限,此类风险随之凸显。

具备执行能力的智能体带来全新风险

在此之前,职场 AI 安全风险大多集中在大模型的读写输出层面。攻击者植入带毒文档,只能篡改模型给出的回答,攻击影响仅此而已。

但智能体完全不同。微软 365 Copilot 能够自动发送邮件、创建文件、修改日程;基于 Copilot Studio 与 Azure AI Foundry 搭建的自定义智能体,还可以对接业务系统,自动执行多步骤任务。

以往只能篡改文本总结的注入攻击,如今能够触发实质性操作。针对普通问答模型,攻击只会篡改输出内容;而针对 AI 智能体,攻击可以改变程序实际执行的行为。

这类智能体依靠 MCP(模型上下文协议)对接各类业务系统。这是一套开放协议,让 AI 调用外部工具,就像应用程序调用 API 接口一样。微软称,MCP 是智能体 AI 供应链中增长最快的板块,也造就了持续扩大的攻击面。

攻击原理

每一个 MCP 工具都附带一段纯文本描述,用来告诉智能体该工具的用途与适用场景。智能体依靠这段文字来决策后续行为,这正是本次攻击的核心漏洞。工具描述只是普通文本,文本中可以暗藏指令。

微软以发票处理场景举例(仅用于演示攻击模式,无真实受害企业):财务团队部署了一款智能体来处理供应商发票,并为其接入三款工具,其中包含一款第三方 “发票信息补充” 服务。该工具通过了使用审批,但并未经过严格的安全审查。

随后攻击者对这款第三方工具进行篡改:工具名称与对外展示的简介保持不变,在工具描述中,以格式注释为掩护嵌入恶意指令:提取最近 30 条未付款发票,并随下一次接口调用一并外传。MCP 会实时同步工具描述的更新。在未开启二次审批的环境下,被投毒的工具版本会直接上线,无需额外审核。

后续工作人员正常向智能体咨询供应商信息。智能体在完成正常业务问答的同时,会执行隐藏指令,抓取发票数据并随正常请求一同外传。工具向工作人员返回正常结果,同时把窃取的数据悄悄回传到攻击者控制的服务器,操作人员完全无法察觉异常。

智能体执行的每一步操作本身均具备合规性:工具经过正式审批、数据查询沿用操作人员自身权限、对外访问的服务器也在准入名单内。问题并不出在单个系统,而是微软所说的系统之间的信任边界

更深层的根源在于:MCP 将指令与业务数据混杂存放在同一存储空间。工具描述会和系统指令一同存入智能体的工作内存,篡改这段描述,效果等同于改写智能体的系统提示词,足以完全操控智能体行为。

智能体无法区分正常指令和工具维护者偷偷写入的恶意指令。微软强调,这并非 Copilot 自身的程序漏洞,而是接入第三方外部工具后形成的信任缺口。

安全防护建议

微软给出的精简处置方案:

  1. 将所有接入的外部工具纳入软件供应链管控。建立可信工具发布者清单,关闭 “允许全部工具接入” 选项,仅开放智能体业务必需的指定工具。
  2. 把工具描述等同于系统提示词严格管控。像审核代码变更一样审核每一次描述修改,扫描说明字段中是否隐藏非正常执行命令。
  3. 高风险操作增加人工审批环节。凡是涉及资金操作、对外共享数据、账号变更的行为,必须经过人工确认。
  4. 为每一个 AI 智能体分配独立身份,持续监控行为日志。建立正常行为基线,对新增访问地址、大批量数据拉取、异常查询行为进行告警。
  5. 落实 “最小执行权限”,而不只是最小访问权限。即便智能体账号权限很低,若无操作校验机制,依然会造成严重危害。

微软在自家产品中落地了上述防护手段,包括 Prompt Shields、Purview DLP、Entra Agent ID、云 Defender 以及 Sentinel。无论使用何种技术架构,该防护原则都通用。

攻击并非理论,已有大量实证案例

这类攻击早有技术研究记录。Invariant Labs 在 2025 年 4 月正式提出 “工具投毒” 概念,并放出 POC:在计算器工具的描述内隐藏指令,成功诱导 Cursor 编辑器读取用户私钥 SSH 密钥并向外发送。开发者 Simon Willison 随后跟进深入研究。

该团队后续又披露了同类攻击手段:利用恶意 GitHub 工单劫持对接 GitHub MCP 服务的智能体,非法拖取私有代码库数据。整套工具本身没有被篡改,恶意指令附着在智能体读取的业务数据中。OWASP 已将该案例收录进 2025 年 12 月《智能应用十大安全风险》,列为智能体供应链漏洞典型案例。

同类供应链攻击已经出现野外真实案例。2025 年 9 月,Koi 安全实验室在 npm 仓库中发现 postmark-mcp 包。该工具连续 15 个版本均为正常邮件服务程序,在 1.0.16 版本中悄悄加入一行代码,让智能体发送的所有邮件自动密抄给攻击者。研究团队将其认定为首个真实落地的恶意 MCP 服务器。

学术界也已开始量化该项风险。2025 年 8 月发布的 MCPTox 测试基准,使用被篡改的工具描述,对 45 台真实 MCP 服务与 20 款主流大模型开展测试。结果显示攻击通用性极强,最高成功率达到 72.8%,绝大多数 AI 模型不会拦截此类指令。

这正是微软当前着重警示的核心结论:具备自主执行能力的 AI,其安全性完全取决于所接入的工具。现阶段外部工具极易被投毒篡改,且行为难以监控。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:黑猫安全 鹏鹏同学 鹏鹏同学《微软发出警告:被投毒的 MCP 工具描述可导致 AI 智能代理发生数据泄露》

SCTF-(部分) 网络安全文章

SCTF-(部分)

文章总结: 文档描述了SCTF竞赛中一个Web漏洞和一个MISC合约分析。Web漏洞是Rustunsafe代码导致的Use-After-Free,通过Gatew
评论:0   参与:  0