研究人员发现MCP设计缺陷 Anthropic拒绝修改

新闻
3小时前
本文关键看点:

#01、Anthropic官方模型上下文协议(MCP)中内置的设计缺陷,可能使多达20万台服务器面临完全被黑客接管的风险。

#02、MCP使用STDIO(标准输入/输出)作为本地传输机制,用于 AI 应用生成 MCP 服务器作为子进程。但实际上,它允许任何人运行任意操作系统命令。

#03、Anthropic研究团队拒绝修改协议架构,并告知提交方"协议运行良好"。


以下正文内容基于英文原文编译,可能存在语义偏差,请以原文为准。


安全研究人员称,Anthropic 官方模型上下文协议(Model Context Protocol,MCP)中存在一个设计缺陷——或称一个糟糕设计选择导致的"预期行为"——已将多达 20 万台服务器置于被完全接管的风险中。

Ox 研究团队表示,他们"反复"要求 Anthropic 修补这一根本问题,却一再被告知协议运行良好——尽管目前已有 10 个(暂计)针对使用 MCP 的开源工具和 AI 代理的高危或严重级别 CVE。Ox 称,一个根本性修补本可降低涵盖超过 1.5 亿次下载量的软件包的风险,并保护数百万下游用户。

image (3).png

Anthropic "拒绝修改协议的架构,并称该行为是'预期的'",Ox 研究人员 Moshe Siman Tov Bustan、Mustafa Naamnih、Nir Zadok 和 Roni Bar 在一篇博文中表示。该研究始于 2025 年 11 月,经历了超过 30 次负责任的披露流程。

在首次向 Anthropic 报告一周后,这家 AI 厂商悄然更新了安全政策——这似乎已成定式。他们在后续发表的 30 页论文(PDF)中写道,更新后的指南指出,MCP 适配器(特别是 STDIO 类型)应谨慎使用。"这一改变没有修复任何问题,"他们补充道。

Anthropic 未回应 The Register 的置评请求。

据安全调查人员称,核心问题在于 MCP——这是一个由 Anthropic 最初开发的开源协议,LLM、AI 应用和代理用它来连接外部数据、系统和对端。它跨编程语言工作——意味着任何使用 Anthropic 官方 MCP 软件开发工具包(支持 Python、TypeScript、Java 和 Rust)的开发者都继承了这一漏洞。

MCP 使用 STDIO(标准输入/输出)作为本地传输机制,让 AI 应用将 MCP 服务器生成作为子进程。"但实际上,它允许任何人运行任意操作系统命令——如果命令成功创建了 STDIO 服务器,它会返回句柄;但当给出一个不同命令时,命令执行后才返回错误,"Ox 研究人员写道。

利用这一逻辑可导致四种不同类型的漏洞。

条条大路通 RCE

第一类漏洞为未认证和已认证的命令注入,允许攻击者输入用户控制的命令,这些命令将直接在服务器上运行,无需身份验证或清理。研究人员称,任何具有公开界面的 AI 框架均存在此漏洞。

受影响的漏洞项目包括所有版本的 LangFlow——IBM 的开源低代码框架,用于构建 AI 应用和代理。他们表示,已于 1 月 11 日向 LangFlow 披露了该问题,但尚未颁发 CVE。

同样受影响的还有 GPT Researcher,一个用于深度研究用途的开源 AI 代理,虽然尚无补丁,但有一个 CVE 跟踪器(CVE-2025-65720)。

第二种攻击向量为"带硬化绕过的未认证命令注入",允许不法分子绕过开发者实现的保护措施和用户输入清理,直接在服务器上运行命令。

Upsonic(CVE-2026-30625)和 Flowise(GHSA-c9gw-hvqq-f33r)均通过仅允许特定命令(如"python"、"npm"和"npx")运行来硬化以抵御命令注入。理论上,这应使通过"command"参数直接发送命令成为不可能。

然而?"我们能够通过允许命令的参数间接注入命令来绕过这一行为,例如 '-npx -c ',"Ox 团队写道。

第三类漏洞允许跨 AI 集成开发环境(IDE)和编码助手(如 Windsurf、Claude Code、Cursor、Gemini-CLI 和 GitHub Copilot)的零点击提示注入。

然而,针对此类漏洞颁发的唯一 CVE 是针对 Windsurf 的 CVE-2026-30615。这也是唯一的真正零点击漏洞——用户提示直接影响 MCP JSON 配置,全程无需用户交互。

其他所有 IDE 和厂商——包括 Google、Microsoft 和 Anthropic——均表示这是已知问题,或不构成有效安全漏洞,因为修改文件需要用户明确授权。

Anthropic 悄然修复了其 Git MCP 服务器中允许远程代码执行的漏洞。接入 GitHub 的代理可窃取凭证——但 Anthropic、Google 和 Microsoft 尚未警告用户。没人知道 Anthropic 的 Project Glasswing 实际发现了多少 CVE。Anthropic 将让你的代理睡在它的沙发上。

最后,第四类漏洞家族可通过 MCP 市场交付,威胁猎手称他们"成功污染"了 11 个市场中的 9 个——但使用的概念验证 MCP 仅运行一条生成空文件的命令,而非恶意软件。

"接受我们提交的市场包括每月访问量达数十万次的平台,"该安全公司写道。"任何一个目录中的单个恶意 MCP 条目都可能在被发现前被数千名开发者安装——每次安装都为攻击者提供在开发者机器上任意执行命令的能力。"

Ox 认为,Anthropic 有能力和责任"使 MCP 默认安全"。

"协议层面的一个架构变更,本可保护每一个下游项目、每一位开发者和每一位依赖当今 MCP 的最终用户,"研究人员写道。"这就是拥有技术栈的含义。"