一个名为 postmark-mcp 的流行 AI 助手工具被发现内置了后门。从 1.0.16 版本开始,该工具会将所有通过它发送的电子邮件,包括密码重置、发票和机密文件,秘密抄送至开发者的个人服务器。此事件暴露了 AI 助手工具(MCP 服务器)生态系统中一个根本性的安全漏洞:这些工具被授予了几乎无限的“上帝模式”权限,但却严重缺乏有效的安全审查,使得恶意行为者可以轻易窃取敏感数据。这标志着一种新型的供应链攻击,凸显了在 AI 时代对第三方工具进行严格验证的紧迫性。
“上帝模式”权限的隐患
我们正在赋予 AI 助手工具(MCP 服务器)处理邮件发送、数据库查询等核心任务的能力。这意味着我们给予了这些工具极高的权限,而这些工具的开发者往往是我们从未见过、也无法审查的陌生人。我们只是盲目地信任 AI 助手及其使用的工具。
- postmark-mcp 就是一个典型例子,每周下载量高达 1500 次。
- 自 1.0.16 版本起,它开始悄悄地将每一封发送的邮件都复制到开发者的个人服务器
giftshop.club。 - 这是全球首例被发现的真实世界中的恶意 MCP 服务器攻击。
这类针对软件供应链的攻击,正逐渐成为企业面临的最大安全威胁。
一次精心策划的攻击
攻击者并非某个匿名的黑客,而是一位来自巴黎、有真实姓名和良好声誉的软件工程师。他的 GitHub 个人资料充满了合法的项目,使其看起来完全值得信赖。
- 建立信任: 该工具的前 15 个版本都运行良好,赢得了开发者的信任和推荐,并成为许多团队日常工作流程的一部分。
- 植入后门: 在 1.0.16 版本中,开发者仅在代码的第 231 行增加了一行代码,就实现了邮件的秘密抄送。
- 经典伪装: 攻击者复制了 Postmark 官方维护的合法代码,添加了恶意的 BCC(密送)代码行,然后以相同的名称在 npm 上发布。
我们永远无法知道一个看似合法的开发者为何会突然背叛信任他的数千名用户。但关键在于,我们根本无法预测这种行为。
对于现代企业而言,问题更加严重。当安全团队专注于传统威胁时,开发人员正在独立采用这些完全游离于现有安全边界之外的 AI 工具。这些 MCP 服务器拥有与 AI 助手相同的权限,却不出现在任何资产清单中,也绕过了所有供应商风险评估和安全控制。
难以估量的影响
安装一个 MCP 服务器,本质上是把整个电子邮件流程的控制权交给了你从未谋面的陌生人。攻击者没有利用任何零日漏洞或复杂的攻击手段,我们是主动把钥匙交给了他。
我们可以大致估算这次事件的影响:
- 每周 1,500 次下载。
- 假设有 20% 的下载被积极使用,即大约 300 个组织受到影响。
- 每个组织每天可能发送 10-50 封邮件。
- 这意味着每天有 3,000 到 15,000 封邮件被发送到
giftshop.club。
开发者没有破解任何东西。我们是自己把钥匙递给了他,允许他用最高权限运行代码,并让我们的 AI 助手每天使用数百次。这是我们自己造成的。
攻击的时间线
阶段一:构建合法工具 版本 1.0.0 到 1.0.15 运行完美,用户逐渐建立信任,并将其集成到生产环境中。
阶段二:添加一行代码 版本 1.0.16 中加入了恶意的 BCC 代码行,其他功能保持不变,难以察觉。
阶段三:获利 坐等包含密码、API 密钥、财务数据和客户信息的邮件源源不断地流入
giftshop.club服务器。
开发者在被发现后,立即从 npm 上删除了这个包,试图抹去证据。然而,删除包并不会从已经安装它的机器上移除它。所有受感染的系统仍在继续泄露邮件。
为什么 MCP 的模式存在根本缺陷
MCP 服务器与普通的 npm 包不同,它们是为 AI 助手自主使用而设计的。AI 无法识别 BCC 字段中的恶意行为,它只知道邮件发送成功了。日复一日,邮件在用户毫不知情的情况下被悄悄窃取。
postmark-mcp后门事件是对整个 MCP 生态系统的一次严重警告。我们正在将“上帝模式”的权限交给无法验证和信任的开发者。
应对措施与威胁指标
如果您正在使用 postmark-mcp 的 1.0.16 或更高版本,您的系统已经受到威胁。必须立即采取行动。
缓解措施:
- 立即卸载
postmark-mcp包。 - 轮换在泄露期间可能通过电子邮件发送的所有凭证(如密码、API 密钥)。
- 审计邮件日志,检查是否有敏感数据被泄露。
- 向相关机构报告任何已确认的数据泄露事件。
威胁指标 (IOCs):
- 包名:
postmark-mcp(npm) - 恶意版本: 1.0.16 及更高版本
- 后门邮箱:
phan@giftshop[.]club - 域名:
giftshop[.]club