在著名的人工智能协议中发现了严重漏洞,Anthropic公司表示不会修复它
9
software
网络威胁在MCP协议中:它是怎样的以及需要做什么
出现方式与来源
OX Security研究人员发现Model Context Protocol(MCP)存在架构缺陷。受影响的SDK包括Python、TypeScript、Java和Rust官方库。风险规模超过1.5亿次下载,约20万台服务器实例使用这些SDK。Anthropic回应称协议“行为可预期”,无需更改。
什么是MCP?
- 2024年由Anthropic提出的开放标准。
- 允许AI模型连接外部工具、数据库和API。
- 去年被移交给Agentic AI Foundation(Linux基金会);目前OpenAI、Google及大多数AI工具都在使用。
漏洞如何工作
1. STDIO接口
- 请求直接发送到执行点,无额外校验。
2. 风险继承
- 任何使用MCP的开发者都会自动获得此弱点。
可能的利用路径(4类)
| # | 攻击类型 | 恶意行为 |
|---|---|---|
| 1 | 未授权UI代码注入 | 写入恶意代码,自动执行。 |
| 2 | 绕过“受保护”平台(Flowise) | 利用漏洞绕开内置安全机制。 |
| 3 | IDE环境中的恶意请求(Windsurf、Cursor) | 在无用户干预下执行命令。 |
| 4 | 通过MCP传播恶意包 | 发布可被其他用户自动加载的恶意代码。 |
研究人员成功在11个MCP注册表中注入payload,证明六个平台上可执行命令。
额外发现的漏洞
| 应用 | CVE | 状态 |
|---|---|---|
| LiteLLM | CVE-2026-30623 | 已关闭 |
| Bisheng | CVE-2026-33224 | 已关闭 |
| Windsurf | CVE-2026-30615 “已接收消息”(本地代码执行) | |
| GPT Researcher, Agent Zero, LangChain-Chatchat, DocsGPT | 同上 |
Anthropic的回应
- OX Security建议:
- 限制仅从清单发起请求。
- 在SDK中引入允许命令列表。
- Anthropic答复:拒绝更改协议,对漏洞公开无异议。
当前进展
| 事件 | 当前状态 |
|---|---|
| Mythos模型泄露 | Anthropic正在内部调查。 |
| Claude Code泄漏 | 之前曾发生源代码泄露。 |
| MCP管理 | 已转至Linux基金会,但Anthropic仍维护有缺陷的SDK。 |
开发者需要做什么
- 在STDIO接口修改前,需自行实现输入过滤。
- 检查并更新SDK到最新补丁(如可用)。
- 考虑在应用层引入命令验证和限制机制。
总结
MCP漏洞对数百万用户构成严重威胁。尽管Anthropic拒绝更改协议,开发者仍需采取防护措施,直至官方修复发布。
Asted Cloud
评论 (0)
分享你的想法——请保持礼貌并围绕主题。
登录后发表评论