主要观点总结
Docker推出了自己的模型上下文协议(MCP)目录和用于管理MCP工具的MCP Toolkit。MCP Catalog是Docker Hub的一部分,旨在提供对第三方工具的管理和访问。MCP旨在成为AI代理的标准API,以控制这些服务器提供的服务。然而,关于MCP的安全问题引起了关注,多个安全机构发布了关于MCP漏洞的文章。虽然存在风险,但供应商们仍在争先恐后地提供MCP服务器。
关键观点总结
关键观点1: Docker推出MCP目录和工具套件
Docker推出了自己的模型上下文协议(MCP)目录和用于管理这些协议的MCP Toolkit。该目录是Docker Hub的一部分,提供了对第三方工具的管理和访问。
关键观点2: MCP的目的和标准
MCP旨在成为AI代理的标准API,用于控制由服务器提供的服务,从而扩展AI代表用户执行任务的能力。该协议被许多公司迅速采用,包括OpenAI、微软和谷歌。
关键观点3: 关于MCP的安全问题和风险
安全机构对MCP的安全问题提出了警告,包括没有官方注册中心、恶意行为者试图安装恶意MCP服务器、提示注入等风险。供应商和客户端防护措施的不一致性和不全面也引起了关注。
关键观点4: 安全机构对MCP漏洞的研究
Trail of Bits发布了一系列关于MCP漏洞的文章,描述了一种名为工具投毒或插队(line jumping)的攻击方式,并指出了可能的后果。
关键观点5: Docker的注册中心访问管理功能
Docker提供了注册中心访问管理(Registry Access Management)和镜像访问管理(Image Access Management)等功能,以帮助管理对注册中心的访问和对容器镜像的拉取。
正文
Wiz 认为,为了实现 “流畅的开发体验”,让一些 AI 代理自动运行工具,这存在风险,因为这暗含对工具响应的绝对信任。
一些客户端,包括 Anthropic 的 Claude ,有防止恶意提示的防护措施,但其他客户端可能没有,Wiz 认为, “这些防护措施不一致,也不全面”。
安全机构 Trail of Bits 发布了一系列有关 MCP 漏洞的文章,其中第一篇描述了一种名为工具投毒或插队(line jumping)的攻击。当 MCP 客户端连接到服务器时,它会通过 tools/list 方法请求服务器所提供工具的详细信息。据 Trail of Bits 观察,恶意 MCP 服务器可以利用这些描述来操纵 AI 代理,比如在任意命令前加入恶意前缀,并且不告诉用户。Trail of Bits 指出,被入侵的 MCP 服务器可能会外泄代码、制造漏洞或抑制安全警报。
在 Anthropic 最初的 MCP 概念中,始终要有人参与其中,在运行命令之前验证命令的合法性和正确性。但在 AI 领域,这是有问题的,尤其是在 AI 承诺帮助用户执行他们认为困难的操作时。
这些报告似乎在说,MCP 服务器和客户端正处于 “狂野西部”阶段,其采用率在不断增长,但安全影响和边界尚不明确。目前,Anthropic 为开发人员提供了这份 MCP 服务器列表,其中包括 “未经测试、使用风险自负”的社区服务器。
在这种情况下,经过 Docker 验证的可信任的 MCP 服务器注册中心可能会很受欢迎,不过它不太可能成为企业唯一使用的注册中心,Anthropic 已将官方 MCP 注册中心加入自己的路线图。Docker 提供了注册中心访问管理(Registry Access Management)和镜像访问管理(Image Access Management)等功能,前者可以控制哪些注册中心可通过 Docker Desktop 访问(不过也有使用命令行绕过它的方法),后者可以限制允许开发人员拉取的容器镜像。
原文链接:
https://devclass.com/2025/04/22/docker-introduces-mcp-catalog-and-toolkit-as-vendors-scramble-to-support-the-protocol-despite-security-concerns
声明:本文为 InfoQ 翻译,未经许可禁止转载。
