Chrome 扩展程序漏洞：轻松绕过沙箱访问本地MCP服务器

最近，一项关于 Chrome 浏览器扩展程序与本地模型上下文协议（MCP）服务器通信的研究引发了广泛关注。事件发生在上周，一家安全公司的系统检测到一个可疑的 Chrome 扩展程序，该程序正在向 localhost 端口发送网络请求。初看之下这并没有什么不寻常，但进一步调查发现，这个扩展程序在与用户设备上运行的 MCP 服务器进行通信。 MCP 是一种将人工智能代理与端点上的系统工具和资源接口化的协议，通常用于本地开发环境和生产系统中。Chrome 浏览器的沙箱模型设计是为了保护用户免受恶意扩展程序的影响，但这次研究揭示了一个严重的漏洞：由于 MCP 服务器默认情况下未实现身份验证机制，任何 Chrome 扩展程序都可以无认证地访问并利用 MCP 服务器的功能。这意味着，一旦用户的机器上运行了漏洞 MCP 服务器，即使是简单的扩展程序也可以执行高度敏感的操作，包括但不限于文件系统访问、Slack 消息发送或 WhatsApp 控制等。 研究人员通过设置一个基于服务器发送事件（SSE）的本地 MCP 服务器，并创建一个 Chrome 扩展程序尝试连接到 localhost:3001 端口进行了测试。结果令人震惊：扩展程序能够轻而易举地与 MCP 服务器交互，并调用其提供的工具，完全没有遇到任何形式的身份验证障碍。这项测试不仅证明了 Chrome 扩展程序可以完全突破沙箱隔离，还展示了潜在的严重后果，即恶意扩展程序可能通过 MCP 服务器接管整个系统。 Google 已经意识到了类似的安全威胁，并在2023年9月发布了 Chrome 117 版本，加强了对公共网络访问私有网络（如 localhost）的限制。然而，这些措施并不适用于浏览器扩展程序。尽管 Chrome 扩展程序在设计上有较高的权限，但仍需遵循 Chrome 的沙箱隔离原则，未经明确授权不得访问操作系统和本地资源。不幸的是，这一漏洞打破了原本的设计目标，使得扩展程序能够意外地与本地机器及其所在的企业环境中的其他服务进行交互。 截至目前，MCP 生态系统迅速壮大，已有数千个服务器提供了各种功能。虽然这为开发者带来了强大的新工具，但同时也引入了大量的安全风险。研究显示，没有特殊权限的简单 Chrome 扩展程序就能突破沙箱隔离，连接到本地 McCoy 服务器，执行特权操作。当这些 MCP 服务器暴露未加验证的文件系统、Slack 或 WhatsApp 功能时，从理论上的担忧变成了实际的企业级威胁。 对于安全团队而言，这不仅是一个新的攻击向量，更是一个全新的、被严重低估的攻击面。当前，MCP 服务器已经在开发人员环境和生产系统中广泛部署，往往缺乏严格的安全审查和访问控制。如果这一问题得不到及时解决，MCP 将成为进入用户终端的开放后门，绕过传统防御措施。因此，管理和监控 MCP 的使用，实施严格的访问策略，已成为不容忽视的优先事项。 业内专家指出，这一发现再次提醒我们，随着新技术的不断涌现，我们必须时刻保持警惕，确保安全措施跟进。此外，Google 也需要重新审视 Chrome 扩展程序的安全架构，防止未来出现类似的漏洞。MCP 作为一种新兴的技术生态，尽管前景广阔，但也亟需更加严格的安全规范和管理。