首页
社区
课程
招聘
全网大规模扫描来袭!MCP、AI密钥、大模型接口全遭猎捕
发表于: 1天前 805

全网大规模扫描来袭!MCP、AI密钥、大模型接口全遭猎捕

1天前
805

近期安全厂商Internet Storm Center监测到一场覆盖全网的广谱扫描行动,所有公网Web服务都在被批量探测,大量开发者无意间暴露的AI相关资产,正在被黑客批量标记、搜集,风险直接拉满。


14天监测数据实锤:AI类侦察扫描已成第二大攻击流量

安全人员调取一台小型网站主机连续14天完整访问日志,统计出两类侦察行为:传统云应用探测、全新AI/MCP专属扫描,数据反差极具警示性:

  • 传统扫描峰值:Spring Boot actuator探测324次,来自30个IP,仍是老牌高危探测;

  • AI新型侦察合计近200次扫描请求,覆盖7大类AI资产探测,其中MCP协议握手探测55次,溯源49个独立扫描IP,是所有AI探测里来源IP最多的攻击行为。


除此之外,攻击者还在批量扫描LLM模型接口、Claude等AI助手密钥配置文件、MCP项目配置、K8s服务账号令牌、谷歌云元数据SSRF漏洞。

关键风险点高亮:本次扫描并非定向攻击某家企业,属于无差别全网地毯式探测,哪怕业务没有部署AI服务,也会收到大量探测请求。


扫描核心突破口:MCP协议探测,绝非简单路径扫描

本次攻击最特殊的技术特征,区别于普通弱扫描器:黑客并非简单访问`/mcp`路径验证页面是否存在,而是发送完整合规的MCP标准JSON-RPC初始化握手报文。


流程如下:

扫描器任意公网IP发起`POST /mcp`请求,携带规范协议版本`2025-03-26`完成完整握手交互;若服务器存在暴露的MCP服务并返回正常应答,攻击者即可确认目标存在高危漏洞。


MCP(Model Context Protocol)是当下AI助手、开发工具通用交互协议,暴露在外无认证防护会造成毁灭性后果:

1. 黑客可枚举AI代理拥有的全部工具、数据库、内网API、文件读写权限;

2. 外部人员直接读取、操作企业内部业务数据、工单系统、本地文件;

3. 完整摸清内网资产拓扑,作为内网横向渗透跳板。


且扫描流量分散在数十个不同IP,属于分布式批量扫描,绝非安全研究员测试,具备明确规模化狩猎意图。


黑客同步搜刮AI密钥与配置文件,一行代码失误直接泄露凭证

扫描器附带大量轻量探测请求,专门检索开发者极易误上传至公网的配置文件,无需完整下载文件,仅通过路径存在性快速判断资产价值,高危文件IoC清单:

1. Claude相关:.claudemcp.json、.claude.credentials.json本地密钥文件;

2. 代码编辑器MCP配置:Cursor、VSCode专用`.cursormcp.json`、`.vscodemcp.json`;

3. 通用MCP项目配置:`.mcpconfig.json`项目文件;


一旦上述文件被放置在网站可访问目录,攻击者可直接读取AI服务连接密钥、内网接口地址、账号凭证,接管AI代理权限。


开源大模型接口、SSRF云元数据漏洞同步被批量探测

1. LLM公网接口扫描

攻击者持续探测Ollama、OpenAI兼容接口`/v1/models`、`/api/tags`,未做鉴权的大模型接口会被滥用算力,同时泄露内部模型清单,成为渗透入口。


2. 云服务器SSRF漏洞猎捕

扫描内置大量针对谷歌云元数据服务`metadata.google.internal`、链路本地地址`169.254.169.254`的SSRF载荷,利用AI工具自带网页拉取功能,窃取云主机高权限令牌;同时同步扫描K8s serviceaccount令牌路径,窃取容器集群权限。


企业&开发者落地防护方案(可直接落地执行)

1. 针对MCP服务防护

- 未部署MCP:防火墙、WAF直接拦截`POST /mcp`、`GET /sse`相关全部请求,标记为恶意侦察流量;

- 业务必须使用MCP:禁止公网直连,增加强身份认证、IP白名单限制,关闭外网无授权访问通道。


2. AI配置文件防护

全站Web服务做路径拦截,禁止对外暴露`.json`后缀AI密钥、MCP配置文件;上线前检查打包目录,剔除本地开发配置。


3. LLM模型接口加固

公网大模型服务强制开启鉴权令牌,禁止无验证开放模型查询接口,限制访问源IP。


4. SSRF与云环境加固

- 限制AI工具网页抓取能力,拦截内网、云元数据域名/IP访问;

- GCP、AWS分别开启元数据防护:GCP强制校验防护请求头、AWS升级至IMDSv2;

- 容器环境收紧serviceaccount令牌访问权限,禁止Web程序读取集群凭证路径。


5. 日志巡检常态化

定期检索Apache、ModSecurity、WAF访问日志,排查MCP握手、AI配置文件探测异常请求,提前定位暴露资产。



资讯来源:Cyber Security News (CSN) / SANS Internet Storm Center



[招生]科锐逆向工程师培训(2026年7月3日实地,远程教学同时开班, 第56期)!

收藏
免费 0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回