一种名为 mcp_pin.py 的新方法已被开发出来,以防止“MCP工具漂移”,这是一种安全漏洞,即服务器在用户批准工具的描述或 inputSchema 后对其进行修改。该技术由 Invariant Labs 发现,并被 OWASP 列为 MCP03:2025 工具投毒。它包括在批准时创建工具定义的 SHA-256 哈希,并在每次后续使用前重新验证。该解决方案用大约 40 行 Python 代码实现,并充当 CI 网关,以阻止潜在的“拉地毯式跑路”攻击。 AI
影响 通过确保工具定义在批准后保持不变,缓解了针对AI代理的特定供应链攻击向量。
排序理由 该条目描述了一个用于解决AI模型交互中安全漏洞的特定工具和方法,而不是一个核心AI模型发布或研究论文。
AI 生成摘要 · Google Gemini · 来自 1 个来源。 我们如何撰写摘要 →