本文提出 VIPER-MCP，一种针对模型上下文协议（MCP）服务器的端到端自动化漏洞审计框架。MCP 已成为连接 LLM 代理与外部工具的标准接口，但 MCP 服务器暴露的 shell 执行、网络访问、文件操作等高权限操作若存在实现缺陷，可能被攻击者利用实现远程代码执行乃至完全控制主机。现有方法要么产生未经验证的静态告警，要么依赖固定模板库而缺乏代码级指导，难以触发需特定参数形状或多步骤污点路径的漏洞。VIPER-MCP 结合两项关键技术：1）双通静态分析中的锚点-查询传递（anchor-query pass），通过函数级结构上下文增强标准污点告警，将文件级静态产物映射到具体 MCP 工具处理函数并生成漏洞锚点调用链；2）反馈驱动的提示演化机制，采用双变异器调度独立修正工具选择漂移并加深参数渗透，结合适应度评分种子选择，迭代优化自然语言提示以触发脆弱接收点。在 39,884 个真实开源 MCP 服务器的大规模扫描中，VIPER-MCP 发现 106 个 0-day 漏洞，全部经端到端利用轨迹确认，截至目前已分配 67 个 CVE 编号。所有发现均已负责任地披露给开发者并协调 CVE 分配。该工作适用于安全研究人员、LLM 基础设施开发者及安全运维团队。

本文研究了大型语言模型（LLM）作为自主代理时，其工具调用权限控制的安全缺陷。作者指出，当未授权工具出现在代理的上下文窗口中时，即使模型被明确指示禁止调用，在对抗性场景下仍可能被选中。现有基于提示（prompt）的约束方法效果有限，只能将未授权调用率（UIR）降低11-18个百分点，存在显著的残余风险。为此，本文提出了一种受治理的MCP（Model Context Protocol）代理，在工具发现和工具调用两个阶段强制实施基于属性的访问控制（ABAC）：在工具发现阶段，从模型的上下文窗口中移除未授权工具；在工具调用阶段，进行二次检查以阻止任何未授权调用。通过在三个模型（Qwen 2.5 7B、Llama 3.1 8B、Claude Haiku 3.5）上执行150项覆盖四种攻击类别的对抗性任务，实验表明该架构强制方法将未授权调用率降至0%，且中位数延迟增加不超过50毫秒。研究结论认为，在部署的代理系统中，可靠的工具访问控制必须依赖架构强制而非提示工程。本文适合LLM安全研究员、AI代理开发者和系统安全工程师阅读。