← 返回信息流
Agent SkillLINUX DO · AI·1 小时前2 源报道

AgentScan开源:一键扫描MCP、A2A及LLM接口暴露面

原标题:【个人开源项目】AgentScan一红队的新攻击面

速览

AgentScan是一款开源AI协议扫描工具,旨在发现MCP Server、A2A Agent Card及LLM开放接口的暴露面。该工具能自动识别工具列表、认证状态及蜜罐信号,解决传统扫描器无法检测AI服务的问题。实测发现部分无鉴权MCP服务直接暴露文件系统工具,存在RCE风险,对红蓝队均有重要参考价值。

AI 深度解读

背景

随着大语言模型(LLM)应用的普及,AI 基础设施的安全边界正在发生深刻变化。传统的网络安全扫描器(如 Nmap)和 Web 应用防火墙(WAF)主要针对传统的 HTTP 服务、SQL 注入或 XSS 等漏洞进行防御和检测。然而,随着 Model Context Protocol (MCP) 和 Agent-to-Agent (A2A) 等新兴 AI 通信协议的兴起,一种全新的攻击面正在浮现。

开发者在本地或内网环境中快速部署 Ollama、MCP Server 或各类 LLM 推理框架(如 vLLM、SGLang 等)时,往往缺乏足够的安全意识。这些服务通常默认无认证,且暴露了文件系统读写、Shell 执行等高权限工具。由于这些服务在标准 HTTP 端口上可能仅返回 404 或隐藏真实入口(如 /mcp/sse),传统的扫描流程极易将其忽略。这种“盲区”导致红队可以利用这些暴露的 AI 服务直接获取远程代码执行(RCE)权限,而蓝队则因缺乏针对性的检测手段而难以发现。

核心内容

AgentScan 是一个开源的 AI 协议扫描器,旨在解决上述新兴 AI 服务暴露面无人监管的问题。该项目由开发者 7anX 发布,核心目标是帮助安全研究人员和运维人员快速发现并评估内网及外网中暴露的 MCP Server、A2A Agent 以及开放的 LLM 接口。

1. 扫描原理与痛点解决 传统扫描器在面对 MCP Server 时,往往因为根路径返回 404 而中断扫描。AgentScan 专门针对这一特性进行了优化,能够识别 MCP Server 的真实入口路径(如 /mcp/sse),并进一步探测其暴露的工具列表(Tools)、资源(Resources)、提示词(Prompts)以及认证状态。对于 A2A Agent,它则专注于识别 Agent Card、Skills、Interfaces 以及 JSON-RPC 接口的可达性。

2. 支持的协议与服务类型 AgentScan 目前支持三大类协议的深度探测:

  • MCP Server:支持 Streamable HTTP、HTTP+SSE legacy 协议。能够识别工具/资源/提示词列表,检测认证状态,甚至识别蜜罐信号。
  • A2A Agent:提取 Agent Card 信息,检测 Skills 和 Interfaces,验证无认证 JSON-RPC 的可达性,并检查是否存在私网地址泄露。
  • LLM 开放接口:广泛覆盖主流开源和私有化部署的 LLM 推理服务,包括 Ollama、vLLM、SGLang、TGI、llama.cpp、Xinference、LiteLLM、FastChat、LocalAI、LM Studio 和 LMDeploy。

3. 实际验证与危害评估 作者从候选目标中随机抽取了 50 个目标进行验证,结果令人担忧:

  • 发现 15 个无鉴权的 MCP 服务,共暴露 116 个可调用工具。
  • 发现 1 个 A2A 服务。
  • 发现 9 个裸奔的 LLM 平台。 特别值得注意的是,在暴露的 MCP 服务中,多个服务挂载了 filesystem(文件系统)和 shell(Shell)工具。这意味着攻击者无需绕过 WAF、无需寻找注入点、无需提权,即可通过直接调用这些工具实现远程代码执行(RCE)。

4. 应用场景

  • 红队(攻击方):在渗透测试中,AgentScan 可以快速发现被传统扫描器遗漏的 AI 服务,利用暴露的高权限工具直接获取系统控制权。
  • 蓝队(防御方):在上线前进行安全基线检查,确认是否有未授权暴露的 AI 服务或工具;在发生安全事件后,快速定位受影响的服务、暴露的工具列表及认证状态,缩短响应时间。

关键要点

  • 新型攻击面:MCP 和 A2A 协议暴露面目前缺乏有效监管,开发者常误认为其非安全问题,但实际危害极大,可直接导致 RCE。
  • 传统工具失效:Nmap 等传统扫描器因无法识别 /mcp/sse 等隐藏入口,且易被 404 响应误导,导致扫描中断,无法发现此类风险。
  • 高权限直接暴露:AI 服务本身即为高权限入口,攻击者无需绕过 WAF 或寻找传统漏洞,直接调用暴露的 Tool 即可执行命令或读写文件。
  • 广泛兼容性:AgentScan 覆盖了从本地开发环境(LM Studio, LocalAI)到企业级推理服务(vLLM, SGLang, TGI)的主流 LLM 后端。
  • 自动化与效率:相比逐个手动测试,AgentScan 能自动化输出工具列表和认证状态,大幅节省 FOFA 等资产测绘后的验证时间。
  • 开源与合规:项目完全开源,遵循 LINUX DO 社区推广规范,仅限合法授权的安全测试使用。

意义与影响

AgentScan 的出现标志着 AI 安全领域从“模型内容安全”向“AI 基础设施安全”的重要延伸。

首先,它填补了现有安全工具在 MCP 和 A2A 协议探测上的空白。随着 AI Agent 架构的普及,MCP 作为连接 LLM 与外部数据的标准协议,其安全性至关重要。AgentScan 提供了标准化的检测手段,帮助组织识别并收敛这一新兴攻击面。

其次,它提升了安全团队的可见性。对于蓝队而言,AI 服务的“黑盒”状态曾是内网安全的痛点。通过自动化扫描,安全团队可以将 AI 服务纳入统一的资产管理和监控体系,及时发现无认证、工具过度暴露等配置错误。

最后,该项目促进了 AI 安全意识的普及。通过展示“404 背后的高危风险”和真实的 RCE 案例,AgentScan 警示开发者和运维人员:在享受 AI 开发便利性的同时,必须重视服务暴露面的最小化原则和身份认证机制,避免将高权限工具直接暴露在不可信的网络环境中。

相关推荐

查看原文 →linux.do