MCPHunt：首个衡量多服务器MCP代理信任边界凭证泄露的基准测试——泄露率11.5%至41.3%

研究人员发布了MCPHunt——首个专为检测多服务器MCP代理系统中跨信任边界无意凭证泄露而设计的受控基准测试。MCP（Model Context Protocol）是一种开放标准，允许大语言模型通过多个独立服务器访问外部工具和数据；问题在于，当读写工具各自具有合法权限的组合将敏感数据从一个上下文无意传递到另一个上下文时，风险便随之产生。

MCPHunt测量什么？

MCPHunt衡量违反编辑策略的凭证传播——即使代理在各自层级上均在授权范围内运作时也如此。基准测试涵盖5个不同模型的3615条主评估轨迹、147个场景和9类机制，数据可能通过这些机制被无意转移。

核心指标是”违反策略的传播率”——代理在存在编辑选项或更安全替代方案的情况下，仍将凭证跨越信任边界传输的频率。结果显示，不同模型的范围为11.5%至41.3%，违规集中度最高出现在浏览器中介的数据流中：代理抓取页面后将结果转发给另一个服务器。

控制机制如何运作？

三大方法论支柱赋予了基准测试客观性：

1. 基于金丝雀的污染追踪将泄露检测简化为精确字符串匹配——代理将标记金丝雀令牌越过边界的行为会被直接记录，无需主观判断。
2. 环境受控的覆盖范围结合高风险、良性和硬负样本场景，以排除假阳性并验证管道完整性。
3. **CRS分层（凭证路由分层）**区分任务执行所必需的传播与违反策略的传播——没有这种区分，就无法公平比较各模型。

基于提示的防护效果如何？

基于提示的缓解措施可实现最高97%的违规减少，同时保留80.5%的可用性——表面上看效果显著。但作者随即限定了这一结论：效果与模型的指令遵循能力强相关，这意味着较弱的模型即使使用相同的缓解提示也仍然脆弱。

硬负样本对照组表明，泄露不需要生产环境格式的凭证——仅凭提示驱动的跨边界数据流即可传递值，这确认了漏洞是结构性的，而非实现层面的。该研究的结论明确：仅靠提示层面的防护是不够的；需要在协议和运行时层面实施机械控制，从物理上阻断未经授权的数据路径。

为什么这很重要？

MCP在2025至2026年已成为将LLM代理连接到工具的事实标准——从知识库到电子邮件客户端，再到CI/CD系统。每一个新的MCP服务器都扩大了攻击面。MCPHunt首次量化了一个此前没有标准化安全指标的系统，并为分析人员提供了在代理工作流成为主流集成方式之前进行保护的工具空间。