FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全研究人员发现首例恶意Model-Context-Prompt（MCP，模型-上下文-提示）服务器在野利用案例。名为postmark-mcp的npm软件包被植入木马，秘密窃取用户电子邮件中的敏感数据。

供应链攻击手法分析

该软件包每周下载量约1500次，其内置后门会将工具处理的所有电子邮件副本发送至攻击者控制的服务器。这起事件凸显了AI驱动的软件供应链中正在浮现的重大威胁。

安全公司Koi分析显示，postmark-mcp软件包设计为与Postmark电子邮件服务集成的MCP服务器，可使AI助手自动执行邮件发送任务。在前15个版本中，该工具表现正常，在开发者社区建立了信任基础，被集成到数百个工作流程中。

但从1.0.16版本开始，攻击者植入单行恶意代码，悄无声息地为每封外发邮件添加密送字段，将副本发送至[email protected]。泄露数据包含密码重置邮件、发票乃至机密内部通信等各类信息。

身份伪装与信任滥用

该软件包开发者表面上是来自巴黎的合法软件工程师，拥有完善的GitHub资料——这种伪装手段有效降低了恶意组件的可疑性。此次攻击是典型的代码仿冒案例：攻击者从Postmark官方维护的GitHub仓库复制代码，注入后门后以相同名称发布至npm仓库。

Koi公司表示，其风险引擎在检测到1.0.16版本的异常行为变更后标记该软件包。该攻击的简单性尤其令人担忧——开发者既未利用零日漏洞，也未采用复杂黑客技术，而是直接滥用了开源生态系统固有的信任机制。

AI代理工具的安全盲区

这起事件暴露出AI代理工具架构的关键缺陷。MCP服务器通常被授予高级权限自主运行，可完全访问电子邮件、数据库和API。与传统软件不同，这些工具由AI助手使用，执行任务时无需人工审核。AI无法检测邮件是否被秘密复制，仅会验证发送邮件的主任务是否完成。

这给企业组织造成重大安全盲区：MCP服务器常在既定安全边界外运行，绕过数据防泄露（DLP）系统、供应商风险评估和邮件网关。估算显示，约300家机构可能每天泄露3000至15000封电子邮件。

入侵指标与缓解措施

• 受影响组件：postmark-mcp（npm）
• 恶意版本：1.0.16及后续版本
• 后门邮箱：phan@giftshop[.]club
• 关联域名：giftshop[.]club

开发者接到通知后已从npm删除该软件包，但已安装的系统仍存在风险。使用postmark-mcp1.0.16或更高版本的用户应立即卸载，并轮换所有可能通过邮件传输的凭证和敏感信息。

这起攻击事件为快速发展的MCP生态系统敲响警钟，强调必须对AI代理使用的第三方工具实施严格验证和持续监控。

参考来源：

First-Ever Malicious MCP Server Found in the Wild Steals Emails via AI Agents

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）