当智能体从读取走向执行:MCP 工具描述投毒
微软事件响应团队(2026 年 6 月 30 日)揭示:被悄然篡改的 MCP 工具描述可诱使执行型智能体外泄数据——无需提示词、无需凭据、无需用户参与。
这是什么?
2026 年 6 月 30 日,微软事件响应团队(Microsoft Incident Response)发布了 Securing AI agents: When AI tools move from reading to acting,这是其 AI 应用安全系列的第三篇。其核心是威胁模型的转变,而非单一漏洞:随着企业智能体从”总结”内容转向”采取行动”——发送邮件、更新记录、通过模型上下文协议(MCP)调用业务系统——提示词注入的影响性质随之改变。针对被动总结器的投毒输入只会歪曲输出;而针对执行型智能体的同类操纵则会触发一次真实的动作。
微软描述的具体机制是 MCP 工具描述投毒,该技术最早由 Invariant Labs 于 2025 年 4 月 提出,据微软称,2026 年针对生产环境智能体的此类攻击日益增多。它对应 2025 年 12 月发布的 OWASP Top 10 for Agentic Applications 中的两个类别:ASI02(工具滥用)与 ASI04(智能体供应链漏洞)。
工作原理
每个 MCP 工具都附带一段自然语言描述——即智能体用来判断如何、何时调用该工具的元数据。关键在于:MCP 把这段元数据与数据混在同一个上下文窗口中。描述进入了智能体的工作记忆,与其真正的指令并列,而模型无法可靠地区分一条合法指令与上游维护者塞入的恶意指令。
微软的示例聚焦于一个财务流程。某团队构建了一个连接三种工具的智能体:一个已审批的供应商主数据库、一个邮件连接器,以及一个第三方”发票增强”服务器——后者由服务负责人审阅过,但从未经过独立的安全评审。攻击链分四个阶段展开,此处不复现任何攻击载荷:
- 描述投毒。 增强服务器的维护者推送了一次更新。工具名称与面向用户的摘要保持不变,但描述被悄然改写,嵌入了隐藏指令——伪装成”反欺诈启发式要求”——命令智能体收集近期未付发票并附加到增强调用中。
- 静默再信任。 MCP 会动态反映元数据更新。在描述变更不触发重新审批的配置下,被投毒的文本无需评审即进入生产环境。
- 调用。 一名分析师就某供应商提出常规问题。智能体读取被投毒的描述,收集了超出请求范围的敏感记录,并将其作为一个看似无害的参数转发出去。
- 数据外泄。 服务器返回一个貌似合理的”已验证”响应,同时悄悄将附带的数据记录到攻击者控制的端点。分析师看到的是一个干净的回答;在默认配置下,不会触发任何告警。
单独来看,每一步都在智能体的正常参数范围内。MCPTox 基准测试——45 个真实 MCP 服务器、353 个真实工具——测得许多热门智能体的攻击成功率超过 60%,峰值约 72%。
为何重要
这种攻击之所以有效,是因为任何单一组件都不存在漏洞。工具已获批准,数据库查询继承了分析师本人的权限,外发调用指向的是添加时就被列入白名单的服务器。弱点存在于各系统之间的信任边界,而非系统内部——这正是默认日志保持沉默、并同时绕过用户、提示词与凭据三者的原因。正如微软所指出,IDC 预测活跃的企业智能体将从 2025 年的 2860 万个增长到 2030 年的数十亿个;每一个都把其工具供应链继承为攻击面。
防御措施
微软的建议可归纳为三条超越其自身生态的原则:
将每个 MCP 服务器视为供应链的一环。 在租户层面维护已批准发布者与服务器的白名单;关闭”允许全部”工具访问;仅启用智能体所需的特定工具;任何第三方服务器投入生产前须有明确的负责人。
将工具描述视为系统提示词。 由于模型把工具元数据作为工作上下文读取,修改元数据等同于修改智能体的指令。应像审查代码或系统提示词变更那样审查工具描述的更新,并排查文本中不该出现在说明字段里的祈使性语言。
践行最小自主权,而不仅是最小权限。 即便权限最小的智能体,若自主权过大也可能造成危害。对高影响动作(财务访问、外部共享、账户变更)要求人工审批;为每个智能体分配带条件访问的非人类身份;用数据防泄漏策略检查工具调用参数;建立正常行为基线,使任何新端点、扩大的参数或异常查询都能触发告警。在部署前、而非部署后,用被投毒的元数据对智能体进行红队演练。
状态
| 项目 | 参考 | 说明 |
|---|---|---|
| 微软 IR 指南 | Microsoft Incident Response,2026-06-30 | ”读取→执行”威胁模型转变;财务流程攻击范式 |
| 技术起源 | Invariant Labs 工具投毒通告,2025-04 | MCP 工具描述投毒的首次公开披露 |
| 框架映射 | OWASP Top 10 for Agentic Applications,2025-12 | ASI02 工具滥用、ASI04 智能体供应链 |
| 实证证据 | MCPTox 基准测试 | 45 个服务器、353 个工具;成功率 > 60%,峰值约 72% |
| 实际利用 | 据微软称,2026 年已观测到 | 未披露具体受害组织 |
持久的教训是:把注入指令变成安全事件的变量是自主权,而非权限。应假定针对智能体上下文的提示词注入——包括通过它所信任的工具——是可能发生的;防御之道在于约束一个被劫持的智能体接下来被允许做什么。
Sources
- → https://www.microsoft.com/en-us/security/blog/2026/06/30/securing-ai-agents-ai-tools-move-from-reading-acting/
- → https://invariantlabs.ai/blog/mcp-security-notification-tool-poisoning-attacks
- → https://genai.owasp.org/2025/12/09/owasp-genai-security-project-releases-top-10-risks-and-mitigations-for-agentic-ai-security/
- → https://thehackernews.com/2026/06/microsoft-warns-poisoned-mcp-tool.html