FreeBuf早报 | 首个恶意MCP服务器现身；XCSSET新变种专攻苹果macOS用户

全球网安事件速递

1. 首个恶意MCP服务器现身：通过AI Agent窃取电子邮件数据

首例恶意MCP服务器攻击曝光，postmark-mcp npm包植入木马窃取邮件数据，每周下载1500次。攻击者伪装开发者身份，利用开源信任机制植入后门，泄露敏感信息。事件揭示AI工具安全盲区，需加强第三方工具验证和监控。【