网络安全研究人员发现首例恶意MCP服务器，npm软件包postmark-mcp被植入木马，窃取用户电子邮件并通过后门将邮件发送至攻击者控制的服务器，泄露敏感信息。此事件揭示了AI驱动软件供应链的安全隐患，开发者伪装合法身份进行攻击。受影响用户应立即卸载该软件包并更换敏感信息。