暴露的 MCP 服务器成为云接管的跳板

这是什么？

Model Context Protocol（MCP）服务器是让 AI 智能体调用工具的桥梁——执行查询、访问 API、管理云资源。2026 年春季，两股趋势迎面相撞。首先，Trend Micro 研究员 Alfredo Oliveira 与 David Fiser 报告称（2026 年 4 月 28 日），暴露在公网、既无身份认证也无加密的 MCP 服务器数量几乎翻了三倍，从 492 台增至 1467 台。其次，流行的云 MCP 实现中出现了严重的命令注入漏洞：社区版 aws-mcp-server 中的 CVE-2026-5058 与 CVE-2026-5059（均为 CVSS 9.8、无需认证，于 2026 年 4 月 10 日至 11 日公布），以及一个未披露的 Azure 侧漏洞，编号为 ZDI-CAN-28042。其后果不仅是数据暴露，而是从一个有漏洞的 AI 工具直达整个云账户被完全攻陷的路径。

工作原理

aws-mcp-server 暴露了一个”允许命令”处理器，它用用户提供的字符串拼接 shell 命令，却未做正确的中和处理（CWE-78，操作系统命令注入）。能够触达该端点的攻击者，在任意命令旁注入 shell 元字符——;、|、&&、反引号——服务器便会在自身进程上下文中执行它们。无需任何凭据。

真正让漏洞严重的是横向跳转。这类服务器通常运行在带有附加 IAM 角色的云虚拟机上（EC2 实例、Azure 虚拟机），以便智能体代表用户管理云资源。一旦攻击者在该主机上获得代码执行权，便会查询实例元数据服务：

GET http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE]

这会返回该虚拟机 IAM 角色的临时凭据。凭借它们，攻击者离开 MCP 服务器，进入云控制平面——列举、读取、修改并删除该角色所能触及的一切。Trend Micro 描述了同一条链路如何导致容器逃逸与虚拟机逃逸。

为何重要

这是远程代码执行与环境云凭据的致命组合。MCP 服务器看起来像一个应用组件，于是团队把它暴露在一个图方便的端口上，却忘了底层主机持有强大的 IAM 角色。Trend Micro 的扫描发现，逾 90% 的暴露服务器提供对其数据源的直接读取权限，1227 台仍在使用已弃用的 SSE 传输，execute_sql 之类的工具可在 70 台主机上访问——其中至少三台暴露了患者病历。因此，单个命令注入漏洞的影响半径，是该服务器角色所能触及的整个云账户，而不仅仅是智能体的数据。

防御

把 MCP 服务器当作云基础设施，而非实验玩具。

• 绝不把 MCP 服务器暴露到公网。 绑定到 localhost 或私有网络；在每种传输上都要求身份认证与 TLS。
• 强制 IMDSv2 并限制跳数。 要求带会话令牌的元数据请求，并将响应跳数限制设为 1，使容器内被攻陷的进程难以触达元数据端点。
• 对实例角色实行最小权限。 承载 MCP 服务器的虚拟机只应携带最少的 IAM 权限；避免宽泛的 * 策略，否则一次 RCE 就会变成账户接管。
• 修补或替换有漏洞的服务器。 披露时 aws-mcp-server 并无修复版本（受影响版本为 <= 1.7.0）；固定到一个有维护、经审计的实现，并在服务器端校验每个工具参数。
• 沙箱化并监控。 在带出站过滤的隔离容器中运行 MCP 服务器，对元数据服务访问以及意外的 execute_sql/shell 工具调用发出告警。
• 只安装来自可信来源的 MCP 服务器，并将任何外部提供的服务器配置视为不可信输入。

状态

项目	详情
CVE-2026-5058 / CVE-2026-5059	aws-mcp-server，CVSS 9.8，CWE-78，无需认证
受影响	aws-mcp <= 1.7.0；披露时无修复版本
Azure 漏洞	ZDI-CAN-28042（Microsoft），CVSS 9.8，细节未披露
暴露规模	1467 台公网 MCP 服务器（此前为 492 台），据 Trend Micro，2026 年 4 月 28 日
披露	NVD 于 2026 年 4 月 10 日公布 CVE-2026-5059（ZDI-26-245）