随着互联网应用的不断发展,浏览器扩展程序已成为用户日常工作和生活中不可或缺的辅助工具。特别是Chrome扩展程序,凭借其便捷性和强大功能,受到了广泛欢迎。然而,随着功能的增强,这些扩展程序同时暴露出了许多安全隐患,其中最令人担忧的就是与本地Model Context Protocol(MCP)服务器的通信可能带来的安全风险。MCP是一种旨在为人工智能代理提供统一接口,使其能访问并操作本地系统资源的通信协议。本质上,MCP通过两种主要传输方式——服务器发送事件(Server-Sent Events,SSE)和标准输入输出(stdio)实现客户端与服务器的交互。尽管MCP为AI与系统之间的交互提供了极大便利,但其设计中缺乏默认的身份验证机制,令系统极易暴露在潜在风险之下。
。
