核心功能
read-no-evil-mcp 是一款面向 AI 工作流设计的邮件安全工具,核心使命是在邮件内容抵达 LLM 之前拦截潜在的提示注入攻击。它通过本地运行的 ProtectAI DeBERTa 模型对所有邮件进行实时扫描,无需调用外部 API,确保数据隐私。
主要能力
| 功能 | 说明 |
|------|------|
| 邮件读取 | 自动扫描后安全展示,检测到注入时返回退出码 2 |
| 邮件发送 | 需显式开启 `send` 权限,支持 SMTP 配置 |
| 邮件管理 | 文件夹列表、邮件移动、删除(均需独立授权) |
| 多账户支持 | 通过 YAML 配置管理多个 IMAP 账户 |
显著优点
1. 本地化 AI 检测:DeBERTa 模型完全本地推理,杜绝数据外泄风险
2. 权限最小化原则:默认仅开放读取,写入操作需逐项授权
3. CLI 原生设计:适合集成到自动化脚本和 MCP 工作流
4. 透明评分机制:检测到威胁时展示置信度分数与匹配模式
潜在局限
- 依赖 ProtectAI 模型的检测覆盖率,新型攻击可能存在滞后
- 仅支持 IMAP/SMTP 协议,Exchange/Graph API 用户需额外桥接
- 配置门槛较高,需手动编辑 YAML 和环境变量
- 误报可能导致正常邮件被拦截,需人工复核机制
适合人群
- 使用 LLM 处理邮件的自动化工作流开发者
- 对数据隐私有严格要求的企业安全团队
- 需要为 AI Agent 构建安全边界的 MCP 集成者
常规风险提示
- 本地模型需定期更新以应对新攻击变体
- 建议配合应用专用密码而非主账户密码
- 高安全场景下应启用只读模式,必要时临时开放写入权限
- 检测到注入后需人工确认,避免自动化流程盲目信任检测结果