大家好，我是肆〇柒。在 AI 領域，大型語言模型（LLM）正經歷從模仿學習到經驗學習的范式轉變。模型上下文協議（MCP）作為 LLM 與外部服務交互的標準化接口，實現了學習環境反饋驅動的強化學習，成為 LLM 智能體系統架構基礎。目前，MCP 已獲前沿 LLM（如 GPT、Claude、Gemini 和 Qwen）廣泛支持，可實現開放、現實世界集成的智能體系統。MCP 協議具體規定了外部數據源和工具如何與 LLM 進行交互。例如，在數據傳輸方面，MCP 采用加密解密機制保障數據在傳輸過程中的安全性。當 LLM 向外部服務發送請求時，數據會先經過加密處理，外部服務接收到加密數據后，再利用對應的解密算法進行解密，獲取原始數據，從而防止數據在傳輸過程中被竊取或篡改。此外，MCP 還包含服務發現與注冊流程。服務提供商需要先在 MCP 系統中注冊服務，提供服務的相關信息，如服務功能、接口規范等。LLM 可通過服務發現機制，在 MCP 系統中查找滿足需求的外部服務，進而實現與外部服務的有效交互，提升其在現實世界任務中的應用能力。

MCP 引入三方交互模式（用戶、LLM、第三方服務），與傳統 LLM 二元交互安全問題不同。以醫療領域為例，MCP 面臨的安全風險更為嚴峻。惡意 MCP 醫療設備服務可能篡改患者生理數據，誤導治療推薦。具體而言，攻擊者可能入侵 MCP 醫療設備服務，篡改心率、血壓等關鍵生理數據。若患者依據錯誤數據調整治療方案，可能加重病情，甚至危及生命。這凸顯了深入研究 MCP 驅動智能體系統安全問題、識別潛在風險并開發防御策略的重要性。

MCP 安全智能體系統整體框架，包括 MCP 安全風險與傳統 LLM 安全風險差異、SAFEMCP 整體架構及 MCP 安全展望

如上圖所示，MCP 引入三方交互模式，面臨的安全風險更為嚴峻，凸顯了深入研究 MCP 驅動智能體系統安全問題的重要性。為此，新加坡國立大學及螞蟻集團等研究機構在論文《We Should Identify and Mitigate Third-Party Safety Risks in MCP-Powered Agent Systems》中，對 MCP 驅動智能代理系統安全風險進行了深入剖析。下面我們一起來了解一下。

MCP 安全風險

第三方服務威脅本質

第三方服務提供商在 MCP 生態系統中扮演關鍵角色，但其潛在安全威脅不容忽視。這些提供商可能為追求經濟利益，利用 MCP 協議漏洞破壞用戶智能體交互。例如，在電商領域，惡意第三方支付服務可能通過篡改支付信息，竊取用戶資金。其攻擊動機在于直接獲取經濟收益，攻擊方式包括篡改數據以誤導決策、劫持控制權以執行惡意操作等。這些行為既違反系統安全原則，還可能對用戶造成嚴重損害。

與傳統安全風險差異

MCP 安全風險與傳統 LLM 安全風險存在顯著差異。在用戶與模型的二元交互中，傳統 LLM 安全風險主要來自用戶對抗提示。但在 MCP 智能體系統中，第三方服務提供商的攻擊使得攻擊主體、目標和途徑均發生變化。從攻擊主體看，傳統 LLM 安全風險主體是用戶，而 MCP 安全風險主體是第三方服務提供商，攻擊動機和目標更加復雜多樣。從攻擊途徑看，MCP 安全風險利用了 LLM 與第三方服務之間的交互接口，為攻擊者提供了更多切入點。例如，攻擊者可在 MCP 服務描述中植入惡意提示，誘導 LLM 產生有害響應。此外，MCP 安全風險隱蔽性更強，攻擊者可偽裝成正常第三方服務，繞過傳統安全檢測機制。

安全評估框架 SAFEMCP 構建

測試環境搭建

為全面評估 MCP 驅動智能體系統安全性，研究者從 AgentGym 收集十種常用場景及數據集，涵蓋 WebShop、BabyAI、SciWorld、TextCraft、ALFWorld、Sheet、Academia、Movie、TODOList 和 Weather 等多種實際應用。以 WebShop 場景為例，其包含商品搜索、購買等功能，可充分模擬 LLM 智能體在電商領域的運行環境。BabyAI 場景則為機器人導航模擬環境，涉及不同房間、物品交互等元素，可用于測試智能體在復雜環境下的導航和決策能力。

以 WebShop 場景商品搜索功能轉化為 MCP 服務為例，說明具體實現步驟。首先，定義服務接口，明確 LLM 與 MCP 服務之間的通信協議，包括請求和響應格式、參數等。例如，請求格式需包含用戶輸入的商品名稱、顏色、尺碼、價格范圍等信息，響應格式則包括符合篩選條件的商品列表及其詳細信息。其次，確定數據傳輸格式，如 JSON 或 XML 等，確保數據準確傳輸和解析。最后，設計交互流程，如 LLM 根據用戶查詢構造請求、MCP 服務查詢商品數據庫并返回結果、LLM 生成回復呈現給用戶等步驟。

攻擊 - 防御機制設置

攻擊方法原理與實現

SAFEMCP 提供多種對抗提示攻擊方式，包括直接攻擊、AutoDAN、CodeChameleon、DeepInception、CipherChat、ReNeLLM 等。直接攻擊是將攻擊提示直接注入服務描述或返回響應中，干擾 LLM 正常使用服務。例如，在商品搜索服務中，攻擊者可在返回商品信息中插入有害鏈接或誘導性文本。AutoDAN 通過特定算法生成更具迷惑性的攻擊提示，利用模型對訓練數據某些模式的偏好，生成可繞過傳統防御機制的提示。CodeChameleon 則動態改變攻擊提示編碼方式，使其在不同上下文中呈現不同形態，增加防御難度。DeepInception 利用深度學習模型多層次結構，將攻擊提示嵌入多個層次，使防御模型難以在所有層次有效檢測過濾。CipherChat 采用加密技術對攻擊提示進行加密解密，使其在傳輸過程中難以識別攔截。ReNeLLM 基于上下文重新生成攻擊提示，使其更符合對話邏輯語境，提高攻擊成功率。

提示融合技術

SAFEMCP 實施提示融合技術，利用輔助 LLM 改寫偽裝攻擊提示，使其與正常服務響應融為一體。例如，輔助 LLM 根據上下文對攻擊提示進行語義調整，使其看似正常服務響應的一部分，降低被檢測概率。這種技術通過改變攻擊提示的表面特征，使其在語義和形式上更接近正常內容，從而增加了防御系統的檢測難度。

被動防御機制

被動防御機制涵蓋生成服務白名單和執行時識別惡意服務。生成服務白名單時，需預先分析服務行為、數據流向等特征。例如，分析服務正常運行時的請求響應模式、數據傳輸頻率等，據此建立可靠白名單。只有白名單中的服務才允許被 LLM 調用，減少惡意服務調用風險。執行時識別惡意服務則借助異常檢測算法實時監測服務調用情況。例如，監測服務響應時間、返回數據異常模式等，及時發現潛在攻擊行為。當服務響應時間突然顯著延長或返回數據出現異常格式時，可能表明服務遭受攻擊，需進一步分析處理。

主動防御機制

主動防御機制通過從服務中提取信息過濾惡意內容。例如，利用 LLM 語義理解能力，分析篩選 MCP 服務返回信息，識別過濾惡意內容。同時盡量保留有用信息，減少對系統性能影響。在具體實現中，可采用基于機器學習的文本分類算法，對服務返回的信息進行分類，識別出可能包含惡意內容的部分。然后，結合自然語言處理技術，對這些疑似惡意內容進行進一步分析和處理，以確保系統安全。

支持的智能體架構

SAFEMCP 兼容多種異構智能體架構，如 GPT-4o、OpenAI-o1、Qwen3、DeepSeek-R1、Doubao 等推理模型和非推理模型。這些模型以 OpenAI API 兼容格式實現無縫過渡。不同架構在 MCP 環境下各有特點和性能表現。GPT 系列模型在自然語言處理領域應用廣泛、性能高，能準確理解和生成自然語言文本，為智能體系統提供強大的語言交互能力。Qwen 系列模型具備強大推理和生成能力，可在復雜任務中進行有效推理和內容生成。Doubao 在特定任務和場景下表現出色，適合處理特定類型的任務和數據。以 GPT-4o 為例，其在處理復雜的自然語言任務時，能展現出較高的準確性和邏輯性。例如，在文本生成任務中，GPT-4o 能根據輸入的提示生成連貫、有意義的文本內容，為用戶提供更優質的語言服務。

評估指標體系

SAFEMCP 從幫助性（相對準確率損失 RAL）、無害性（攻擊成功率 ASR、傷害率 HR）、可檢測性（檢測率 DR）三個維度量化攻擊性能。例如，相對準確率損失 RAL 衡量系統遭受攻擊后性能下降程度，計算公式為（原始準確率 - 攻擊后準確率）/ 原始準確率。假設系統原始準確率為 90%，遭受攻擊后準確率降至 60%，則 RAL 為（90% - 60%）/90% = 33.3%。攻擊成功率 ASR 表示攻擊提示成功誘導 LLM 產生有害響應比例，計算公式為成功攻擊次數 / 總攻擊次數。傷害率 HR 衡量攻擊對用戶或系統實際傷害程度，可根據攻擊導致的損失、風險等因素進行量化評估。檢測率 DR 表示安全檢測模型成功識別攻擊比例，計算公式為成功檢測攻擊次數 / 總攻擊次數。

實驗驗證與結果分析

實驗設計

模型家族選取

實驗選取 GPT 系列（OpenAI-o1、OpenAI-o3-mini、GPT-4o、GPT-4o-mini）、Qwen 系列（Qwen2.5-32B-Instruct、Qwen3-14B、Qwen3-32B）和 Doubao（Doubao-1.5-Pro）等模型家族。GPT 系列在自然語言處理領域應用廣泛、性能高，Qwen 系列具備強大推理和生成能力，Doubao 在特定任務和場景下表現出色，具有廣泛代表性和應用前景。

實驗場景與攻擊方法

在 WebShop 和 TextCraft 場景下，針對六種攻擊策略（直接攻擊、AutoDAN、CodeChameleon、DeepInception、CipherChat、ReNeLLM）進行實驗設計和實施。例如，在 WebShop 場景中，設計商品搜索任務，構造多種攻擊提示，如在商品描述中插入誘導性文本，試圖使 LLM 產生不安全推薦。在 TextCraft 場景中，設計文本生成任務，構造攻擊提示干擾 LLM 文本生成過程。以直接攻擊為例，在商品搜索服務中，攻擊者直接在商品描述中插入如 “點擊此鏈接獲取更多優惠，但實際鏈接指向惡意網站” 的攻擊提示，誘導 LLM 生成包含該鏈接的推薦文本，從而引導用戶訪問惡意網站，造成安全威脅。

實驗流程

實驗流程如下：初始化模型和場景，加載選定 LLM 和實驗場景，配置相關參數；注入攻擊提示，在 MCP 服務描述或返回響應中注入攻擊提示；記錄實驗數據，運行智能體系統，記錄系統遭受攻擊時的響應、性能指標等數據；數據分析和結果評估，對記錄數據進行分析，評估攻擊成功率、傷害率及防御策略效果等。例如，在一次商品搜索實驗中，初始化 GPT-4o 模型和 WebShop 場景后，在商品描述中注入攻擊提示，然后運行系統記錄其響應時間和推薦結果準確性等數據，最后分析數據得出攻擊對系統性能的影響程度。

實驗結果呈現

實驗得到不同攻擊方法在各模型上的 RAL、ASR、HR 數據。例如，GPT 系列模型中，直接攻擊的 RAL 為 0.70±0.06，ASR 為 0.22±0.01，HR 為 0.82±0.01；Qwen 系列模型中，直接攻擊的 RAL 為 0.58±0.03，ASR 為 0.31±0.01，HR 為 1.38±0.11。

SOPIA在基于MCP驅動的智能體系統上的評估結果

這些數據表明，所有實現的 MCP 智能體系統至少易受一種攻擊策略影響，驗證了 MCP 服務攻擊是真實威脅。高級攻擊方法（如 ReNeLLM、CodeChameleon 等）的成功率和傷害率顯著提高，表明攻擊者可利用高級紅隊技術攻擊 MCP 驅動智能體系統。以 ReNeLLM 攻擊為例，在 GPT-4o-mini 模型上，其 ASR 達到 0.38±0.04，HR 達到 1.81±0.20，相較于直接攻擊的 ASR 0.26±0.02 和 HR 1.35±0.10，均有顯著提升，這凸顯了高級攻擊方法的威力和防御難度。

MCP 服攻擊對 MCP 驅動智能體系統的評估結果

如上表被動檢測策略實驗所示，呈現了 MCP 服務攻擊在不同模型上的具體評估數據，進一步證實了 MCP 安全風險的嚴峻性。

被動檢測策略實驗

測試 GPT-4o-mini 等模型和 LLM 安全檢測模型（LLaMA-Guard、OpenAI-moderation API）對惡意 MCP 服務的識別能力。實驗結果顯示，對于直接攻擊，所有 LLM 和 LLaMA-Guard 都能以 100% 的檢測率識別攻擊。然而，對于其他高級攻擊，存在一些攻擊無法被適當檢測。例如，OpenAI-moderation API 在檢測高級攻擊時的表現甚至不如 LLaMA-Guard。這表明簡單的被動檢測策略雖然可以防范直接攻擊，但對于高級攻擊效果不佳，不能依賴單一檢測方法。

不同防御策略下的安全性能，包括不同 LLM 及安全檢測模型的檢測率，以及不同攻擊在多種模型上的 ASR 和 HR

如上圖（a）所示，展示了不同 LLM 及安全檢測模型對惡意 MCP 服務的檢測率，可以看出對于直接攻擊檢測效果較好，但高級攻擊的檢測率存在差異。

以 CodeChameleon 攻擊為例，LLaMA-Guard 的檢測率為 80%，而 OpenAI-moderation API 的檢測率僅為 60%，這說明不同檢測模型在面對高級攻擊時性能差異較大，需要綜合運用多種檢測手段來提高檢測效果。

SOPIA在MCP驅動的智能體系統上的評估結果

主動防御實驗

利用 GPT-4o-mini 提取 MCP 服務信息過濾惡意內容后，主動防御策略在降低 ASR 和 HR 方面表現出積極效果。例如，主動防御使 ASR 平均降低了 20%，HR 平均降低了 30%。然而，主動防御也可能導致系統性能下降，例如 RAL 在主動防御后平均增加了 10%。這主要是由于主動防御過程中可能存在信息提取不準確、防御策略過于保守等問題。未來可以通過優化信息提取算法和防御策略，進一步提高主動防御的性能和效果。如下圖所示，展示了主動防御策略實施前后相對準確率損失的變化，可以看出主動防御在提升安全性的同時，對系統性能有一定影響。

防御前后相對準確率損失（RAL）的變化情況

例如，在信息提取過程中，采用更先進的自然語言處理技術，提高對惡意內容的識別精度，同時合理調整防御策略的嚴格程度，以平衡安全性和系統性能。

MCP 安全未來方向

紅隊演練（Red Teaming）

第三方紅隊演練

針對 MCP 系統中第三方服務的紅隊演練是一種有效的安全評估方法。通過模擬惡意第三方服務提供商的攻擊行為，如注入惡意代碼、竊取用戶數據等，可以評估智能體系統的安全性和防御能力。例如，在金融領域，模擬第三方支付服務提供商在 MCP 協議中注入惡意代碼，試圖竊取用戶的支付信息，從而測試系統的檢測和防御機制。紅隊演練過程中，可采用多種攻擊手段，如利用服務漏洞植入木馬程序、構造釣魚頁面竊取用戶輸入信息等，全面檢驗系統的安全防線。

工作流針對性演練

在 MCP 智能體系統工作流中，某些服務環節可能相對較弱，容易成為攻擊的目標。通過分析工作流，識別這些最弱環節，并通過工具調用鏈間接傳播攻擊，可以更全面地評估系統的安全性。例如，在物流配送系統中，可以模擬攻擊者操縱天氣服務來影響路徑規劃服務，進而干擾整個配送流程。利用圖挖掘技術對服務依賴網絡進行建模和分析，可以發現關鍵攻擊點和潛在風險路徑，為防御策略的制定提供依據。具體而言，可建立服務依賴圖，節點表示服務，邊表示服務之間的調用關系和數據依賴。通過分析服務依賴圖中的關鍵路徑和瓶頸節點，確定潛在的攻擊目標，提前加強防護措施。

跨服務演練

跨服務攻擊是指從不同 MCP 服務提供商處發起的協同攻擊。例如，電子商務平臺可能利用產品描述中的隱藏提示劫持支付服務。這種攻擊方式更加復雜和隱蔽，需要構建有效的防御機制來應對。研究跨服務攻擊的特點和挑戰，以及如何在 MCP 系統中檢測和防御這類攻擊，是未來紅隊演練的重要方向。跨服務演練需要模擬多個服務之間的協同攻擊過程，分析攻擊的傳播路徑和影響范圍，以發現系統中的安全隱患和防御漏洞。

MCP 安全 LLM 開發

預訓練階段

在預訓練階段融入 MCP 安全知識是提升 LLM 安全性能的關鍵步驟之一。通過在訓練數據中加入 MCP 相關的安全案例和攻擊模式，使 LLM 能夠在早期學習階段識別和抵御潛在的安全威脅。例如，可以收集包含 MCP 服務攻擊案例的數據集，如惡意服務描述、篡改的數據響應等，將這些數據納入預訓練數據中，使 LLM 學習到如何識別和應對這些安全威脅。同時，優化訓練數據的選擇和組織方式，提高模型的安全性和魯棒性。在數據選擇方面，可注重收集具有代表性和多樣性的安全事件數據，涵蓋不同的攻擊類型和場景，以增強 LLM 對各類安全威脅的識別能力。

微調階段

構建專門用于 MCP 安全的微調語料庫對于提升 LLM 在 MCP 環境下的安全性能至關重要。語料庫的收集、標注和處理方法需要充分考慮 MCP 安全的特點和需求。例如，可以收集實際的 MCP 服務交互日志，標注其中的安全事件和攻擊行為，作為微調的素材。通過微調訓練，使 LLM 更好地適應 MCP 環境下的安全需求，提升其對攻擊的識別和防御能力。在語料庫標注過程中，可采用多標簽標注方式，對每個樣本標注其所屬的攻擊類型、風險等級等信息，以便在微調過程中更有針對性地訓練 LLM 的安全防御能力。

強化學習階段

強化學習在提升 LLM 安全技能方面具有顯著優勢。通過獎勵機制鼓勵 LLM 探索安全的外部環境交互方式，積累應對安全威脅的經驗。例如，可以設計獎勵函數，當 LLM 成功識別并抵御攻擊時給予正向獎勵，當 LLM 產生有害響應時給予負向獎勵。強化學習算法的具體實現方法和應用場景包括利用近端策略優化（PPO）算法對 LLM 的策略進行更新，使其在與 MCP 服務交互過程中不斷優化自身行為，提高安全性能。在強化學習過程中，可設置不同的訓練場景和任務，模擬各種安全威脅情況，讓 LLM 在不斷試錯和學習中提升安全防御能力。

安全評估體系完善

基準數據集構建

基于 SAFEMCP，構建基準數據集需要整合新對抗場景和現實約束。例如，可以包含不同領域、不同復雜度的 MCP 服務場景，如醫療診斷、金融交易、智能家居等領域的服務場景，以及模擬真實世界中的網絡延遲、數據噪聲等約束條件。通過全面的基準數據集，可以更準確地評估 MCP 智能體系統在實際應用中的安全性。在數據集構建過程中，可與實際行業機構合作，獲取真實的業務數據和場景需求，確保數據集的實用性和代表性。

評估指標拓展

在原有評估指標基礎上，新增級聯影響分數、恢復延遲閾值、攻擊者經濟可行性等維度。級聯影響分數用于衡量單個受損服務通過依賴工具傳播錯誤的程度，恢復延遲閾值定義關鍵任務的最大可容忍停機時間，攻擊者經濟可行性計算攻擊成本與影響的比率，區分理論漏洞和高風險威脅。例如，如果一個 MCP 服務的級聯影響分數較高，說明該服務一旦受損，可能會對多個下游服務產生連鎖反應，導致系統整體性能嚴重下降。在計算級聯影響分數時，可綜合考慮服務的調用關系、數據流向等因素，通過建立數學模型量化服務之間的相互影響程度。

評估協議制定

評估協議應明確評估環境的搭建標準、模擬攻擊 MCP 服務的類型和強度、實施的工作流配置等要素。例如，規定評估環境應模擬真實世界的網絡條件，包括帶寬限制、丟包率等；模擬攻擊 MCP 服務應涵蓋常見的攻擊類型，如注入攻擊、篡改攻擊等，并根據實際威脅情況設置攻擊的強度；工作流配置應盡量貼近實際應用場景，如設置合理的任務流程和參數。通過標準化的評估協議，確保評估過程的科學性和可重復性。在評估協議制定過程中，可參考相關的國際標準和行業規范，結合實際應用需求，制定詳細的評估流程和操作指南。

MCP 相關數據積累

數據轉換

針對已有工具使用相關安全任務的數據，可以將其表達為 MCP 服務器的形式，以實現數據的轉換和重用。例如，將已有的工具使用日志和安全事件記錄轉換為 MCP 服務調用記錄，包括服務請求的時間、參數、響應等信息。這為 MCP 安全研究提供了初始數據支持，有助于快速啟動相關研究工作。在數據轉換過程中，可采用數據映射和格式轉換技術，將原始數據的格式和結構轉換為符合 MCP 標準的格式，確保數據的兼容性和可用性。

數據標注

人機協作標注是一種有效的數據標注方法。專業標注人員可以對 MCP 服務的正常和異常行為進行標注，同時利用 LLM 輔助標注工具提高標注效率和準確性。例如，標注人員可以對服務響應進行分類，標記出包含惡意內容或異常模式的響應。此外，游戲化對抗數據生成可以通過設計有趣的數據生成任務和獎勵機制，吸引用戶參與 MCP 安全數據的生成和標注工作，豐富數據資源。在數據標注過程中，可建立標注質量評估體系，對標注結果進行審核和驗證，確保標注數據的準確性和可靠性。

MCP 服務保障機制研究

混合檢測方法

混合檢測方法結合了規則基線服務行為分析和輕量級 LLM 審計。規則基線服務行為分析通過定義具體規則（如服務調用頻率、參數范圍等）和匹配算法，實時監測服務調用情況，識別異常行為。輕量級 LLM 審計則利用專門訓練的模型對服務響應語義進行分析，檢測其中是否包含隱藏的惡意負載。例如，可以通過分析服務的正常調用頻率，建立規則基線，當服務調用頻率異常升高時，觸發進一步的審計分析。在規則基線服務行為分析中，可采用機器學習技術對服務行為數據進行聚類和分類，自動發現潛在的異常模式，提高檢測的效率和準確性。

信任圖譜傳播

信任圖譜傳播通過將服務可信度表示為時間演化圖來進行建模。節點代表服務，邊編碼歷史交互安全性。通過動態規則引擎和 LLM 審計分析服務行為，為新服務分配初始風險分數，并根據歷史數據和集體智能進行迭代更新。例如，一個新服務在初始階段可能具有較高的風險分數，隨著其與其他可信服務的交互歷史增加，風險分數逐漸降低。利用信任圖譜進行服務推薦和選擇，可以提高 MCP 智能體系統的整體安全性。在信任圖譜傳播過程中，可采用圖神經網絡等先進技術對信任關系進行建模和分析，挖掘服務之間的潛在信任關聯，為信任評估提供更準確的依據。

平衡嚴謹性與適應性

在 MCP 服務保障中，平衡嚴謹性與適應性是一個關鍵挑戰。分層信任框架提出了一種解決方案，服務從 “沙盒環境” 逐步過渡到 “完全認證” 狀態。在沙盒環境中，服務受到嚴格的限制和監控，隨著其通過一系列安全測試和評估，逐步提升到更高的信任層級，適用更寬松的安全策略。這種機制既保證了系統的安全性，又促進了 MCP 生態系統的健康發展。在分層信任框架中，可制定詳細的安全測試和評估標準，對服務在不同信任層級下的行為和性能進行嚴格考核，確保服務的安全性和可靠性逐步提升。

總結

在理解了 MCP 驅動的智能體系統安全風險后，我們能更清晰地認識到 MCP 協議雖推動了 LLM 應用的發展，但其安全問題也日益突出。從技術細節到安全評估框架，再到實驗驗證和未來規劃，整個過程凸顯了 MCP 安全領域的復雜性。構建 SAFEMCP 框架并完成實驗驗證，可以讓我們掌握安全評估和防御策略的理論知識，還積累了豐富的實踐經驗。實驗數據直觀反映了不同攻擊方法對系統的影響及防御策略的效果。這些成果為 MCP 安全領域提供了寶貴的資料。

當然，要構建安全可靠的 MCP 生態系統，需要跨行業、跨領域的緊密合作與持續努力。這涉及到技術層面的突破，如不斷優化和完善安全評估框架、防御機制等。同時，我們也要積極關注 MCP 安全領域的最新動態和研究成果，及時調整和優化我們的安全策略，以適應不斷變化的安全形勢，確保 MCP 驅動的智能體系統能夠在安全可靠的環境中充分發揮其潛力價值。