一篇新研究论文详细介绍了一种模型上下文协议(MCP)中的安全漏洞,MCP 是编码代理用于发现和调用外部工具的标准。该漏洞被称为“隐藏编码”,它利用 Unicode 的 TAG 块将恶意元数据负载隐藏在批准对话框中,使其免受人工审查,同时仍将其传递给 AI 模型。研究人员证明,该技术可以绕过常见的客户端防御,并且在多个独立的 MCP 服务器实现中都有效,这表明存在协议级别的缺陷。 AI
影响 此漏洞可能允许恶意行为者将隐藏的命令注入 AI 编码代理,可能导致意外或有害的操作。
排序理由 研究论文详细介绍了一个广泛使用的协议中的安全漏洞。[lever_c_demoted from research: ic=1 ai=1.0]
- JSON
- JSON-RPC
- MCP
- Model Context Protocol
- Mohammadreza Rashidi
- Python
- Standard Input Output
- TAG block
- Unicode
AI 生成摘要 · Google Gemini · 来自 1 个来源。 我们如何撰写摘要 →