图片来源：Gorodenkoff / Shutterstock

漏洞概况与影响范围

安全专家警告，使用Asana模型上下文协议（Model Context Protocol，MCP）服务器的企业需立即检查日志和元数据是否存在数据泄露。这款软件即服务（SaaS）工作管理平台本周承认其MCP服务器存在漏洞并临时下线，已于周二恢复运行。

据安全公司Upguard披露，6月4日发现的该漏洞可能导致Asana工作管理平台其他用户的数据暴露。Asana官方声明称，该漏洞"可能将您Asana域中的特定信息暴露给其他MCP用户，涉及项目、团队、任务等具有MCP用户权限的对象"。目前尚无证据表明攻击者已利用该漏洞或存在实际数据查看行为。

加拿大DeepCove网络安全公司首席安全架构师Kellman Meghu指出："这再次证明MCP协议仍处于早期发展阶段。所有MCP服务器都存在此类问题，正是我们避免使用它们的原因。"他建议企业在加强安全控制前，应严格限制MCP可访问的数据范围。

MCP协议的技术背景

MCP是由AI提供商Anthropic开发的协议，去年11月开源。该协议旨在建立连接AI助手与数据系统的新标准，涵盖内容存储库、业务工具和开发环境。开发者可通过MCP服务器暴露数据，或构建连接这些服务器的AI应用（MCP客户端），从而避免为每个数据源维护独立连接器。

Asana于5月1日发布其MCP服务器，官网仍标注为"实验性测试工具"，并提示"可能遇到错误或意外结果"。该服务器允许AI助手访问Asana工作图谱，支持通过兼容AI应用查询任务、生成报告、获取智能建议等功能。例如员工可询问AI助手"查找本周所有未完成任务"或"显示Q2规划项目状态"。

安全架构师的专业见解

Meghu指出，MCP等AI代理本质上是长期存活的服务器-TCP连接，他更推荐采用具备安全认证的RAG（检索增强生成）模型API调用方案。RAG可配置为仅搜索经批准的数据，避免触及训练数据中的敏感信息。

"MCP服务器可能成为巨大的攻击载体，"Meghu举例说明，若连接至SIEM（安全信息和事件管理）平台分析日志数据，威胁分子可能尝试入侵服务器获取数据。他质疑道："为何不基于JSON、RestAPI等成熟协议开发？协议设计时竟未考虑访问控制？"

企业安全官行动建议

对于集成大语言模型（LLM）的企业，Upguard提出四项核心建议：

• 严格限制访问范围：确保MCP等上下文服务器实施严格的租户隔离和最小权限原则
• 完整记录所有操作：维护所有请求的细粒度日志，特别是LLM生成的查询，以支持取证调查
• 重新部署时保持人工监督：发生事件时应暂停自动重连和再训练流程
• 严肃对待内部缺陷：即使是内部软件漏洞也可能造成实际数据暴露

Meghu总结道："与所有新协议一样，现在投入生产环境为时过早。我们期待未来出现更多从底层设计就考虑安全性的协议——包含审计控制和每次调用的身份验证机制。"