多數人認為針對AI的攻擊會從模型本身下手,但最新的掃描活動揭示了一個更隱蔽的入口——那些被隨手開放、未加身份驗證的協議通道和配置文件,正成為攻擊者規模化偵察的目標。過去兩周,互聯網風暴中心的分析師在多臺小眾網站的主機日志中,捕捉到一種持續的外部請求,請求的格式不是常見的路徑探測,而是嚴格遵循模型上下文協議初始化流程的JSON-RPC消息。也就是說,對方不是來敲門看有沒有房子,而是直接遞上了一張設計好格式的名片,等你回話。
這項發現來自研究人員對Apache和ModSecurity日志的深度復盤。在約兩周的數據跨度里,他們篩選出大約兩百次與AI代理偵察直接相關的請求,發起這些請求的源IP多達49個,分布廣泛,彼此間看不出單一組織的協調特征。互聯網風暴中心在提供給《網絡安全新聞》的報告中指出,這種分散的、大規模的掃描模式更像是一場地毯式搜索,而非針對特定開發商或企業的定向侵入。正因為探測的目標都是低流量、非AI基礎設施的網站,反而說明攻擊者的腳本已經從“會不會撞上AI服務”進入到了“全網尋獵任何可能暴露的AI入口”的階段。
![]()
最值得關注的地方在于,掃描請求里攜帶的是標準的MCP握手消息,而不是簡單的地址存在性檢查。這意味著掃描器能夠區分出真正具備工具調用、數據訪問能力的服務器,與普通Web服務的差別。一旦某個MCP服務對初始化請求給出正確響應,下一階段的探測就可能轉向枚舉該服務所綁定的數據庫、內部API、文件系統、工單工具等業務資源。MCP原本設計的初衷是讓AI代理獲得與真實業務世界交互的權限,但如果沒有身份認證就直接暴露在公網,就相當于為外部攻擊者提供了一份機器可讀的服務地圖。即便沒有立即的數據泄露,那份地圖本身就已將組織的內部路徑鋪展在攻擊者的視野中。
掃描目標還不止于MCP服務器。同一批探測活動也在尋找與AI編碼助手相關的配置文件,其中包含了可能被開發者無意放置在公開目錄中的settings文件和憑據信息。這些文件一旦被訪問,可以泄露對代碼倉庫、計算實例乃至第三方AI服務的密鑰,將風險從單一服務暴露升級為多系統失守。此外,攻擊者同樣在嘗試定位直接暴露在互聯網上的本地語言模型服務——那些本用于內部調試或單人使用的模型接口,若未經訪問控制就掛在公網上,就可能被外部利用,不僅算力被挪用,甚至模型內部的提示工程、微調數據也會面臨泄露。
互聯網風暴中心在報告中建議,運營團隊應立刻檢查訪問日志中是否存在異常的MCP流量,即使組織內部并未部署MCP服務,這類請求也應視為高價值偵察信號,并視情況進行阻斷或限流。對于確實需要運行MCP服務的情況,必須確保啟用了強身份驗證,且除非業務有嚴格的外網直達必要,否則一律不對公網開放。從網絡層限制訪問范圍,可以大幅降低服務被掃描發現的概率。而那些暫時不需要AI代理能力的環境,則可以把這類探針當作早期預警,只要請求的路由不在業務預期范圍內,拒絕和監控就是最直接的防御動作。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.