MCP服务器供应链扫描：14个节点，信任危机藏在依赖树里

安全研究员本周披露了两个被命名的MCP漏洞利用活动——MCPwn和MCPwnfluence。CVSS 9.8，2600多个实例暴露，两个HTTP请求就能拿下nginx服务器。但比漏洞本身更值得追问的是：当你安装MCP服务器让AI助手连接GitHub、Slack和数据库时，你究竟在信任什么？

Pluto Security团队扫描了14个MCP服务器的供应链，用"承诺证明"（Proof of Commitment）这个行为评分工具分析维护者深度、项目寿命、发布节奏和下载势头，再把依赖树映射到第二层。结果像一张曝光过度的X光片——高下载量、单维护者、年轻项目，这三个标签反复重叠。

被攻陷的服务器长什么样

mcp-atlassian，MCPwnfluence的受害者。44万GitHub星标，26万周下载，1.4年历史，1个维护者。承诺评分：42/100。

漏洞链条很干净：SSRF（服务器端请求伪造）重定向内部请求，然后通过confluence_download_attachment工具任意写文件——没有路径验证。本地网络的任何人都能控制你的机器。

Pluto Security的评估很直接：「42分的承诺评分加上单维护者，是一个清晰的风险信号。不是因为单维护者有问题——而是因为一个人维护一个连接AI代理到你整个Atlassian实例的包，这种信任集中度生态系统还没有定价。」

mcp-remote，OAuth连接器，用于桥接远程MCP服务器。CVE-2025-6514，55.8万下载量披露时，通过OAuth发现字段注入操作系统命令。包本身评分50，但供应链故事不同：

11个节点，5个严重，4个高危，2个警告。最差评分31：strict-url-sanitise，单维护者，不到一岁，64.4万周下载，标记高危。一个URL清理库，新、单人维护、坐在处理MCP OAuth流的包的依赖树里。

excel-mcp-server，路径遍历漏洞CVE-2026-40576。单维护者，160万周下载，一岁，评分36。这是模板。

Flowise评分相对最高：58/100。

依赖树的信任悖论

扫描揭示了一个结构性矛盾。MCP服务器作为AI与外部系统的桥梁，天然需要高权限——访问代码库、读写文件、调用API。但它们的供应链却呈现"初创项目"特征：年轻、个人维护、快速迭代。

strict-url-sanitise的案例尤其典型。64.4万周下载量意味着什么？它可能出现在你意识不到的任何依赖路径里。安全工具依赖它，MCP连接器依赖它，层层抽象之后，开发者甚至不知道自己信任了这个不到一岁的单维护者项目。

Pluto Security没有给出解决方案。他们的工作是曝光——用可量化的评分把"感觉有风险"变成"42/100，单维护者，1.4年"。这种颗粒度本身就有价值。

评分系统的局限与诚实

承诺评分不是预言机。Flowise的58分不代表安全，只代表维护模式相对健康——可能更多贡献者、更长历史、更稳定的发布节奏。但58分在14个样本里已经是高分，这本身就说明问题。

评分维度也有取舍。维护者深度、寿命、发布节奏、下载势头——这四项都是行为指标，不是代码质量指标。一个评分90的项目可能有逻辑漏洞，一个评分30的项目可能代码干净但维护者突然消失。供应链安全没有银弹。

Pluto Security的选择是透明：公布方法论，公布原始数据，让读者自己判断。这种诚实比假装精确更有用。

生态系统的定价失灵

MCP的爆发式增长——从Anthropic去年11月开源协议到现在不到半年——创造了经典的创新-安全张力。开发者需要快速连接AI到现有工具，MCP服务器是现成桥梁。但"现成"意味着信任转移：你把Atlassian、Slack、数据库的访问权交给一个npm包，而这个包的维护者可能是某个时区的一个人在周末维护。

26万周下载的mcp-atlassian不是边缘项目。它是"最广泛使用的Atlassian MCP服务器"。这种采用度与维护模式的错配，是生态系统的定价失灵——市场奖励功能可用性，不奖励供应链韧性。

Pluto Security的扫描范围有限：14个服务器，依赖树只到第二层。但模式已经清晰。高危漏洞不是随机分布，它们聚集在特定的供应链画像里：高下载量、单维护者、项目年轻。这不是巧合，这是结构性风险在寻找出口。

开发者的实际处境

如果你正在评估MCP服务器，Pluto Security的数据提供了一些粗糙但可用的启发。承诺评分低于50、单维护者、项目年龄小于2年——三个条件满足两个，就需要额外审查。不是禁用，是审查：检查依赖树，隔离权限，监控行为。

但现实中这很难。MCP的价值 proposition 是"即插即用"——AI助手自动调用工具，开发者不写集成代码。这种便利性的代价是可见性丧失。你知道安装了mcp-atlassian，但可能不知道它依赖strict-url-sanitise，更不知道后者的维护者上周停止回复issue。

Pluto Security没有解决这个悖论，他们只是第一次把量化数据摆到桌上。在此之前，供应链风险评估是手动的、主观的、滞后的。现在至少有了一张快照——模糊的、不完整的，但真实的。

命名的重量

MCPwn和MCPwnfluence被命名了。在漏洞世界里，命名是一种仪式——Log4Shell、Heartbleed、Shellshock——意味着影响足够大、模式足够清晰、值得被记住。Pluto Security明确说：「这是第一批被命名的MCP漏洞利用活动。它们不会是最后一批。」

命名也是分类学的开始。当安全社区说"MCPwn类漏洞"时，他们指的是什么？可能是"通过MCP工具的高权限接口实现的未授权RCE"，可能是"SSRF+文件写入的标准链条"，可能是"单维护者MCP服务器的系统性风险"。定义还在形成中。

但有一件事已经确定：MCP服务器的供应链不再是抽象担忧。14个扫描样本，5个严重依赖节点，64.4万周下载的单维护者URL清理库——这些数字把风险具象化了。

冷幽默

Pluto Security的扫描工具叫"承诺证明"。在区块链世界里，这个词指的是质押资产来证明诚意。在MCP供应链里，它指的是统计维护者的提交历史和下载曲线——一种更廉价、更可伪造的承诺。讽刺的是，评分最低的项目往往有最高的下载量。市场用注意力投票，安全评分只是脚注。也许下一代工具应该叫"承诺证明的证明"——然后我们可以开始讨论谁给那个证明打分。