核心功能
read-no-evil-mcp 是一款专注于防御提示注入攻击的安全邮件 MCP(Model Context Protocol)服务。其核心机制在于:所有邮件内容在返回给用户或 AI 模型前,必须先通过本地部署的 ProtectAI DeBERTa 模型进行安全扫描,有效阻断恶意提示注入载荷。
显著优点
1. 主动防御架构:不依赖外部 API,所有检测在本地完成,避免敏感邮件数据外泄
2. 细粒度权限控制:将邮件操作拆分为 read/send/delete/move 四类权限,默认仅开启读取,最小化攻击面
3. 零信任扫描机制:即使是看似正常的邮件内容也强制过检,检出注入时返回退出码 2 并标注风险评分
4. 多协议兼容:支持 IMAP/SMTP 标准协议,可对接主流邮件服务商
潜在局限
- 模型覆盖盲区:DeBERTa 针对的是已知提示注入模式,面对新型对抗样本或编码混淆攻击可能存在漏检
- 性能开销:本地 ML 推理对邮件吞吐量有一定影响,高频邮件场景需评估延迟
- 误报风险:正常邮件中的特殊格式(如代码片段、技术文档)可能触发误拦截
- 配置复杂度:YAML + 环境变量双配置模式对非技术用户门槛较高
适合人群
- 企业安全团队:需为 AI 助手接入邮件能力但担心提示注入风险
- 隐私敏感用户:拒绝将邮件内容提交至云端检测服务
- 开发者:构建基于 MCP 的自动化邮件工作流,需可审计的安全边界
常规风险
- 凭证管理:环境变量存储密码存在被进程泄露风险,建议配合密钥管理服务
- 权限升级:write 权限开启后,若 MCP 服务端被攻破,攻击者可利用邮件进行钓鱼或信息外泄
- 供应链安全:依赖 ProtectAI 模型权重文件,需验证下载来源完整性