pathakabhi24/LLM-MCP-Security-Field-Guide

# 🛡️ AI安全领域指南 — LLM + MCP 安全

## 本指南存在的原因 AI 安全格局在 2025–2026 年发生了剧变： - 🔴 **492 个 MCP 服务器公开暴露且无身份验证**（Trend Micro，2026） - 🔴 **CVE-2025-6514** 通过 mcp-remote OAuth 代理入侵 **437,000+ 个开发者环境** - 🔴 **ClawHub 代理注册表中确认 1,184 个恶意技能**（Antiy CERT，2026） - 🔴 **Claude Code RCE 漏洞**（CVE-2025-59536，CVSS 8.7）——打开仓库即触发 - 🔴 **OWASP 发布 2 个新框架**：LLM Top 10（2025）+ Agentic Top 10 / ASI（2025 年 12 月） 大多数教程展示如何 *构建* MCP 和 LLM。几乎 **没有** 展示如何 *保护* 它们。这就是这本指南。 ## 目录 ### 第一部分 — LLM 安全（OWASP LLM Top 10） - [LLM01：提示注入](docs/llm-security/LLM01-prompt-injection.md) - [LLM02：不安全的输出处理](docs/llm-security/LLM02-output-handling.md) - [LLM03：训练数据投毒](docs/llm-security/LLM03-data-poisoning.md) - [LLM04：模型拒绝服务](docs/llm-security/LLM04-dos.md) - [LLM05：供应链漏洞](docs/llm-security/LLM05-supply-chain.md) - [LLM06：敏感信息泄露](docs/llm-security/LLM06-info-disclosure.md) - [LLM07：不安全的插件设计](docs/llm-security/LLM07-plugin-design.md) - [LLM08：过度代理](docs/llm-security/LLM08-excessive-agency.md) - [LLM09：过度依赖](docs/llm-security/LLM09-overreliance.md) - [LLM10：模型窃取](docs/llm-security/LLM10-model-theft.md) ### 第二部分 — MCP 安全（OWASP MCP Top 10） - [MCP 攻击面概述](docs/mcp-security/overview.md) - [MCP01：令牌管理不当](docs/mcp-security/MCP01-token-mismanagement.md) - [MCP02：工具投毒](docs/mcp-security/MCP02-tool-poisoning.md) - [MCP03：通过 MCP 的提示注入](docs/mcp-security/MCP03-prompt-injection.md) - [MCP04：混淆代理攻击](docs/mcp-security/MCP04-confused-deputy.md) - [MCP05：供应链攻击](docs/mcp-security/MCP05-supply-chain.md) - [MCP06：上下文投毒](docs/mcp-security/MCP06-context-poisoning.md) - [MCP07：OAuth 配置错误](docs/mcp-security/MCP07-oauth-misconfig.md) - [MCP08：通过 Fetch 服务器的 SSRF](docs/mcp-security/MCP08-ssrf.md) - [MCP09：范围蔓延](docs/mcp-security/MCP09-scope-creep.md) - [MCP10：不安全的传输](docs/mcp-security/MCP10-transport.md) - [真实 CVE 数据库](docs/mcp-security/CVE-database.md) ### 第三部分 — OWASP Agentic Top 10（ASI 2026） - [ASI01：代理目标劫持](docs/owasp/ASI01-goal-hijack.md) - [ASI02：工具误用](docs/owasp/ASI02-tool-misuse.md) - [ASI03：身份与权限滥用](docs/owasp/ASI03-identity-abuse.md) - [ASI04–ASI10：完整覆盖](docs/owasp/ASI04-to-10.md) ### 第四部分 — 红队测试 - [方法论](docs/red-teaming/methodology.md) - [工具参考](docs/red-teaming/tools.md) - [攻击库](docs/red-teaming/attack-library.md) ### 第五部分 — 检查清单 - [MCP 安全检查清单](docs/checklists/mcp-checklist.md) - [LLM 应用检查清单](docs/checklists/llm-checklist.md) - [代理系统检查清单](docs/checklists/agentic-checklist.md) ## 真实 CVE 快速参考 | CVE | CVSS | 组件 | 影响 | |-----|------|-----------|--------| | CVE-2025-6514 | 严重 | mcp-remote（55.8 万+次下载） | RCE，43.7 万+环境被入侵 | | CVE-2025-59536 | 8.7 | Claude Code | RCE，通过 `.claude/settings.json` 钩子注入 | | CVE-2026-21852 | 5.3 | Claude Code | API 密钥窃取 via 请求重定向 | | CVE-2026-28363 | 9.9 | OpenClaw | 本地主机 WebSocket 劫持 → 数据外泄 | | CVE-2025-65513 | 9.3 | mcp-fetch-server | SSRF → 内部网络访问 | | CVE-2025-68145/43/44 | 高危 | mcp-server-git | 路径绕过 + RCE 链 | ## 涵盖的框架 | 框架 | 范围 | 发布 | |-----------|-------|---------| | OWASP LLM Top 10（2025） | LLM 应用风险 | 2024 年 11 月 | | OWASP Agentic Top 10（ASI 2026） | 自主代理风险 | 2025 年 12 月 | | OWASP MCP Top 10 | MCP 协议风险 | 2025（测试版） | | OWASP Agentic Skills Top 10 | 代理技能/插件风险 | 2026 年 Q1 | | MITRE ATLAS | 对抗性 ML 战术 | 持续更新 | | NIST AI RMF | 治理框架 | 2023 年 | ## 红队测试工具 | 工具 | 擅长领域 | |------|---------| | [DeepTeam](https://github.com/confident-ai/deepteam) | 50+ 漏洞，覆盖 OWASP/NIST/MITRE 框架 | | [promptfoo](https://github.com/promptfoo/promptfoo) | CI/CD 集成，OWASP 插件映射 | | [Garak](https://github.com/leondz/garak) | 100+ 自动漏洞探测 | | [PyRIT](https://github.com/Azure/PyRIT) | 微软编排框架 | | [agent-scan](https://github.com/agent-scan) | MCP 服务器 + 代理技能扫描 | ## 贡献 欢迎贡献。请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。 - 发现新 CVE？打开一个议题。 - 更好的缓解代码？提交一个 PR。 - 新的攻击模式？记录下来。 ## 许可证 [CC BY 4.0](LICENSE) — 可自由使用、分享和基于署名进行构建。

⭐ 如果本指南帮助您保护了某些东西，请给它一颗星。它能帮助他人找到它。

标签：2025安全趋势, 2026安全趋势, AI安全, Chat Copilot, Claude安全, CVE, MCP安全, 供应链漏洞, 安全指南, 开发者安全, 拒绝服务, 提示注入, 插件设计, 攻防, 数字签名, 数据展示, 检查清单, 红队, 训练数据投毒, 输出处理, 过度代理, 防御加固, 集群管理