随着互联网和人工智能技术的迅猛发展,各类浏览器扩展(Chrome Extensions)越来越多地被用户用于提升浏览体验和工作效率。然而,这些看似无害的扩展却隐藏着不容忽视的安全隐患。最近安全研究人员针对Chrome扩展与本地运行的模型上下文协议(Model Context Protocol,简称MCP)服务器之间的通信进行了深入分析,揭示出浏览器的沙箱模型在这类攻击面前几乎形同虚设,带来了极具破坏性的安全风险。 MCP协议最初被设计用于让人工智能代理能够更加高效地调用本地系统资源和工具,辅助实现智能化任务自动化。它的运作依赖于客户端与MCP服务器之间无认证机制的通信,通常基于服务器发送事件(Server-Sent Events,SSE)或标准输入/输出(stdio)两种传输方式。然而,这种设计上的“开放默认”状态,却为恶意扩展提供了可乘之机。
许多本地MCP服务器默认绑定在localhost的端口上,允许本机进程自由访问,这意味着任何权限不受限制的Chrome扩展都可能通过localhost访问并调用这些服务器暴露的功能。 研究人员在一次监控过程中发现,一款正常无恶意迹象的Chrome扩展竟然通过本地端口与MCP服务器建立联系。该MCP服务器提供了具有文件系统读写权限的能力,而扩展能够无需任何额外权限直接获取服务端的会话ID,访问可用工具列表,甚至发起执行命令。这种突破传统沙箱安全环境的行为,意味着扩展通过MCP协议绕过了Chrome的安全检查,直接对本地系统产生了极大威胁。 事实上,谷歌在2023年加强了对浏览器访问私有网络(如localhost和局域网IP段)的限制,阻止网页从非安全上下文对内网资源进行访问,目的在于防范跨站脚本攻击扩展到内网设备。然而,这项限制并未涵盖Chrome扩展,导致扩展仍保留有访问本地接口的强大能力。
MCP协议的设计目标之一是统一各种服务端实现,使得不同应用都能通过相同接口被调用,正因如此,扩展具备极强的灵活性和兼容性,轻松实现对包括Slack、WhatsApp乃至文件系统等多种服务的调用。 这一安全漏洞的连锁反应不可小觑。由于MCP服务器缺乏强制的身份认证措施,任何恶意扩展一旦入侵,即可实现对用户文件、敏感信息的访问,甚至进一步植入后门程序,实现完全的远程控制。相比传统的恶意网页脚本,这种基于扩展与本地服务通信的攻击不仅隐蔽性更高,且更容易避免被现有安全软件检测。对于企业来说,这不仅仅是系统层面的风险,更是供应链安全管理上的巨大挑战,因为扩展及本地服务可能同时存在于开发、测试甚至生产环境,未经严格验证的程序模块可能为攻击者打开入口。 防范这一类攻击,首先要意识到MCP协议的安全设计缺陷及其应用场景的敏感性。
企业和个人用户均应认真评估本地MCP服务器的使用必要性,确保其部署环境安全,配置严格的访问权限与身份验证机制。对于Chrome扩展开发者而言,应避免直接调用未受保护的本地端口,践行最小权限原则,降低攻击面。此外,安全团队需加强对浏览器扩展的行为监控,及时识别和阻断异常的本地连接请求,防止潜在威胁扩大。 从更广泛的角度来看,MCP生态的快速扩张彰显了人工智能技术应用的广阔前景,也暴露了人工智能与网络安全之间尚未完全适应的矛盾。随着越来越多的智能化服务和自动化工具拥抱这一协议标准,未来的安全态势将更加复杂。业界需要推动MCP规范的完善,特别是在通信认证和访问控制方面引入强制要求,避免“开箱即用”的设计缺陷演变成攻击“后门”。
同时,浏览器厂商也应重新审视扩展的权限模型与本地连接政策,强化安全沙箱隔离,闭合访问本地资源的漏洞。 在技术快速迭代的今天,用户对便利和智能的追求不断提升,但随之而来的安全风险亦不可忽视。MCP协议与Chrome扩展联手带来的沙箱逃逸事件正是一个警示,提醒我们技术创新必须与安全防护同步发展。只有多方合力,强化安全开发、部署与运维实践,才能真正保障数据资产安全及系统稳定,避免网络攻防中被动挨打的局面。 总之,Chrome扩展与本地MCP服务器的无障碍通信为黑客提供了前所未有的攻击路径,突破了操作系统的沙箱屏障,威胁着用户和企业环境的安全稳固。面对这一新兴的攻击向量,相关从业者必须提高警觉,积极采取技术和管理措施严控风险,筑牢本地与远程安全防线,确保智能时代的信息安全不被轻易撼动。
。
![Rewards Function as a Service [video]](/images/59F166DF-4475-43C4-ABF0-91B0DFFB6CD0)
