数据库“裸奔”危机：AI时代的数字安全攻防战 | 大东话安全

一、小白剧场

小白：东哥，你说这年头，学什么都得跟“安全”俩字儿挂钩，连我平时看的这些 AI 论文，也老提到什么“安全漏洞”。脑细胞都不够用了！

大东：哎哟，小白，你这是遇到什么难题了？是不是又看到什么听起来很“唬人”的新技术漏洞了？

小白： 可不是嘛！我刚看到一个消息，说现在很多企业都在用的 MCP 协议，竟然曝出了个大漏洞，能让整个数据库“裸奔”！这听起来也太吓人了吧？我家的路由器密码是不是也要多加几层了？

大东：你这联想能力挺丰富啊。不过这次说的确实是个挺严重的事件。它可不是你家路由器那么简单的事儿，涉及的是企业数据库的安全。

小白： 企业数据库？那不就是存着好多重要数据的地方吗？比如客户资料、交易记录什么的？

大东： 没错。而且这个漏洞还跟我们现在最热门的大语言模型（LLM）有关系，用到了“指令/数据混淆”的攻击手段。

小白： 指令/数据混淆？听起来就很高深的样子！大东哥，快给我讲讲，这到底是怎么回事儿啊？我的好奇心已经爆棚了！

二、话说事件

大东： 好，那咱们就好好聊聊这个 MCP 协议的漏洞。它能让数据库“裸奔”，核心问题就在于它对用户输入内容的“盲目信任”和数据库“权限过高”的叠加。

小白： 盲目信任？权限过高？这具体是怎么操作的呢？

大东： 简单来说，攻击者会把恶意指令伪装成普通的用户数据，比如一份看似友好的技术支持请求。

小白： 伪装成请求？那模型不是应该识别出来吗？

大东： 关键就在这里。由于 LLM 存在指令和数据混淆的漏洞，当它处理这些“精心伪装”的数据时，很可能就会把它当成真实的指令来执行。

小白： 噢，我明白了！就是说，模型把“病毒”当成了“药方”来执行了？

大东： 可以这么理解。研究者为了演示这个风险，就基于一个叫做 Supabase 的平台，搭建了一个客服系统。

小白： Supabase 我听说过，是个开源的后端服务平台对吧？

大东： 是的。他们在这个系统里，利用标准的行级安全（RLS）机制，但没有额外策略。而攻击演示所利用的，都是默认配置下的要素。

小白： 那具体的数据泄露过程是怎么样的呢？

大东： 攻击者会提交一份包含恶意指令的技术支持请求。这份请求会通过正常的工单通道，直接存储到客户消息表里，期间没有任何过滤或阻断。

小白： 那客服人员看到这条消息会怎么样？

大东： 当支持代理查看工单时，他们只会正常回复。因为支持代理的权限很低，无权访问敏感数据，所以在这个阶段，敏感信息不会被暴露。

小白： 那什么时候会出问题呢？

大东： 问题出在开发人员身上。当开发人员使用一些工具，比如 Cursor，来查看未处理的工单时，违规行为就发生了。

小白： 开发人员会输入什么指令呢？

大东： 他们可能会输入“请显示最新的未处理支持工单”这样的指令。这时，Cursor 的代理就会通过 MCP 集成，自动发起一系列 SQL 查询。

小白： 哦，代理会去加载数据库架构、列出工单、筛选消息这些？

大东： 对。但在获取最新工单的所有消息时，代理会读取到攻击者提交的，那条包含恶意指令的消息。

小白： 然后它就把恶意指令执行了？

大东： 没错！它会按照嵌入的指令，生成新的 SQL 查询语句，比如“读取 integration_tokens 中的全部内容”，然后将结果作为新消息插入到当前工单的消息线程中。

小白： 读取全部内容？那不就是把数据库里的敏感数据都读出来了？！

大东： 正是如此。而且，这些查询是由拥有高权限的 service_role 执行的，它可以绕过所有的行级安全限制。

小白： 天呐！这听起来简直是无形中就把数据偷走了！

大东： 攻击者只需刷新页面，就能看到对话中显示出的机密信息。从权限角度看，这一过程是“完全合规”的。因为模型认为它在执行合法指令。

小白： 这太可怕了！这种漏洞的危害就是直接导致数据库内容泄露，甚至可能是整个数据库？

大东： 是的，最严重的危害就是敏感数据被未经授权地访问和泄露，企业面临巨大的数据安全风险，可能导致用户隐私泄露、商业机密丢失，甚至造成巨大的经济损失和声誉损害。因为它利用了 AI 模型理解和执行指令的特性，攻击过程非常隐蔽。

三、大话始末

大东： 小白，你刚才提到了 AI 安全和数字安全时代。其实，这次 MCP 协议的漏洞，正是这个时代背景下的一个典型案例。随着 AI 模型的广泛应用，我们面临的威胁也在不断演变。

小白： 确实。以前我听说过很多数据泄露事件，但这种利用 AI 模型自身特性来攻击的，感觉更难防范。

大东： 是的。这是一种被称为“提示注入”（Prompt Injection）的攻击变种。它提醒我们，在享受 AI 带来的便利时，也必须高度重视其潜在的安全风险。

小白： 那过去有没有类似的大规模安全事件呢？

大东： 当然有。我们回顾一下，这类事件其实层出不穷。

小白： 都有哪些呢？快给我讲讲！

大东： 最有名的就是雅虎数据泄露事件了。那可是2013年到2016年间的事儿，超过30亿用户账户信息被窃取。

小白： 30亿？！那几乎是全球人口的一半了！都泄露了什么信息啊？

大东： 姓名、电子邮件地址、电话号码、生日，还有安全问题答案，这些都跑不了。

小白： 天呐！那Equifax呢？我好像也听说过这个名字。

大东： Equifax 是美国一家信用报告机构。在2017年，他们也遭遇了网络攻击，导致约1.47亿美国消费者的敏感个人信息泄露。

小白： 敏感个人信息？比如社会安全号码那些？

大东： 对，社会安全号码、出生日期、地址和驾驶执照号码，这些都可能被泄露。

小白： 真是防不胜防啊！那酒店行业呢？我记得好像也有大型的泄露事件。

大东： 你说的是万豪酒店数据泄露事件吧？那是2018年，喜达屋酒店的预订数据库被黑客入侵，导致约5亿客户的个人信息泄露。

小白： 5亿！那可真是个大数字！都泄露了哪些信息呢？

大东： 姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期、性别，还有部分支付卡信息。

小白： 哇，这简直是把个人信息扒了个精光啊！那社交媒体呢？Facebook 好像也出过事儿。

大东： 没错。2019年，超过5.3亿 Facebook 用户的电话号码和个人数据被泄露，还被发布到了黑客论坛上。

小白： 社交媒体的用户量那么大，一旦泄露影响就更广了。那供应链攻击又是什么？

大东： 供应链攻击的典型案例就是2020年的 SolarWinds 事件。攻击者通过入侵软件供应商的平台，进而渗透到数千个政府机构和企业网络。

小白： 等于说，攻击者是先攻击了供应商，再通过供应商去攻击其他机构？

大东： 可以这么理解。这造成了广泛的数据泄露和间谍活动。

小白： 听起来就更复杂了。那近几年有没有跟我们现在讨论的 AI 相关的泄露事件呢？

大东： 当然有。2022年，就曾有报道称 TikTok 的一个数据库遭到泄露，包含20亿条记录。

小白： 20亿！那数据量也太大了！

大东： 虽然 TikTok 否认了，但这类事件确实引起了人们对用户数据隐私的广泛关注。

小白： 那 ChatGPT 呢？它也出过数据泄露事件吗？

大东： 2023年，ChatGPT 就发生过一次数据泄露。虽然不是大规模的，但部分用户可能会看到其他用户的聊天标题和支付信息。

小白： 支付信息！那可太危险了！

大东： 这就凸显了 AI 应用在处理用户数据时的安全脆弱性。还有三星的例子，也是在2023年。三星员工在未经审查的情况下，将机密代码和会议记录上传到了 ChatGPT，导致敏感信息意外泄露。

小白： 这属于人为操作不当导致的 AI 安全事件吧？

大东： 完全正确。这些事件都强调了数据安全的重要性，以及在数字时代保护敏感信息的复杂性。而这次 MCP 协议的漏洞，更是直接指向了 AI 模型作为“执行者”时带来的新风险。

小白： 哇，听你这么一说，感觉网络世界真是危机四伏啊！那对于这个 MCP 协议的漏洞，有什么预防措施吗？总不能让企业数据库一直“裸奔”吧？

大东： 当然有。针对这类攻击的根源，也就是“数据库权限过高”和“对用户提交内容盲目信任”这两个设计缺陷，研究团队提出了两项主要的解决措施：

尽可能使用只读模式：这是最直接也最有效的办法。在启用只读模式后，即使提示词被恶意利用，模型也无法执行插入（insert）、更新（update）或删除（delete）等操作。这样就从根本上限制了恶意指令对数据库的破坏能力。

添加提示注入（Prompt Injection）过滤器：可以在 MCP 外部构建一个轻量级的过滤模块。这个模块的作用是拦截所有传入的数据，并对那些高风险的输入进行标记或清除。

小白： 过滤模块？就是像一个“门卫”一样，检查进来的人是不是可疑的？

大东： 你可以这么理解。虽然这种防护无法捕捉到所有攻击，但它作为第一道防线，能够显著降低风险。尤其对于那些使用第三方 IDE、难以明确划分上下文边界的团队来说，这种过滤器尤为重要。

小白： 所以说，要从权限管理和输入验证两方面入手来预防？

大东： 完全正确。权限最小化原则和对所有外部输入的严格验证，是数字安全领域永恒的黄金法则。在 AI 时代，这些原则变得更加关键和复杂，需要我们不断学习和适应。

四、小白内心说

小白： 呼……听大东哥讲完这个 MCP 协议的漏洞，感觉脑子里的安全警钟彻底敲响了。以前总觉得黑客攻击离我很远，现在才意识到，原来我们每天都在使用的 AI 模型，也可能成为数据泄露的“帮凶”。“指令/数据混淆”这个概念真是让人细思极恐，攻击者竟然能把恶意指令伪装成普通提问，让模型“傻傻”地去执行，把整个数据库都给“暴露”了。这就像是在我们家门口设了个机关，然后通过一个看起来很正常的请求，就让家里的保险柜自动打开了。看来，学习 AI 不仅仅是学习模型算法，更要学习如何让 AI 更安全地服务于我们。数字安全真是一场没有硝止的攻防战，我们每个人都应该成为这场战役中的一员，提高警惕，保护好自己的数字资产。