该论文针对大语言模型（LLM）智能体与外部工具服务器之间通信的安全隐患，提出了一种名为“mcp-attested”的安全扩展机制。当前模型上下文协议（MCP）仅标准化了消息交换格式，但缺乏信任基础：主机（host）直接读取工具服务器自声明的工具列表并派发调用，无法限制可用的服务器、敏感级别或允许的工具范围。作者基于一个实际需求——让Enclawed智能体安全地使用谷歌的MCP服务器（Gmail、日历、Drive），在不改动MCP或Enclawed自身工具API的前提下，设计了三层增量机制：（1）服务器在已知URI发布离线签名的权限断言（clearance assertion），主机在首次工具派发前通过锚定的信任根验证该断言；（2）默认拒绝的每服务器工具允许列表，确保接入服务器不等于信任其全部工具；（3）基于特性门控的强制模式，将警告变为硬性拒绝，并将所有决策写入防篡改审计日志。论文给出了线格式、验证算法、安全性分析以及LLM驱动的对抗评估，并以RFC 2119规范形式陈述了模式、验证规则、错误注册、知名URI注册和机器可检查的一致性向量，使其可作为MCP的补充标准被采纳。未扩展的主机将忽略该知名文档，行为与当前完全相同。该研究适合关注LLM安全、MCP协议设计及智能体系统安全的研究者和工程团队阅读。

该论文首次对真实世界中远程MCP（模型上下文协议）服务器的认证安全性进行了大规模测量研究。MCP正成为连接大语言模型与外部服务的通用接口，尤其是在智能体需要访问用户在线服务（如社交媒体、生产力工具、金融服务）时，远程部署变得越来越重要。然而，MCP客户端与远程服务器之间的认证边界安全尚未得到充分研究。研究团队通过扫描发现了7,973个活跃的远程MCP服务器，其中40.55%的工具暴露无需任何认证。在已认证的服务器中，OAuth是主要的授权机制，但MCP生态系统中的OAuth部署呈现出三个典型特征：开放的客户端环境、动态客户端注册和委托授权。这些特征将MCP部署与传统OAuth区分开来，带来了新的攻击面。基于这一观察，研究者推导出认证缺陷的分类体系，包含三类MCP特有缺陷和传统的OAuth配置错误，共计四大类九种具体缺陷类型。为实现大规模评估，他们设计了一个半自动化检测框架，结合被动流量检查和主动动态探测。对119个可测试的真实世界OAuth使能MCP服务器应用该框架后，发现每个服务器至少存在一种缺陷，共识别出325个缺陷，其中动态客户端注册缺陷影响了96.6%的测试服务器。许多缺陷可导致敏感信息泄露和账户接管。通过负责任的披露，研究者已获得9个CVE编号。该研究揭示了MCP生态系统中普遍存在的认证弱点，强调了加强基于OAuth的远程部署安全性的迫切需求。