74
|
网络安全研究人员发现,模型上下文协议(MCP)架构存在一个严重的 “设计固有” 弱点,这可能为远程代码执行创造条件,并对人工智能(AI)供应链产生连锁反应。 OX Security 的研究人员莫舍・西曼・托夫・布斯坦(Moshe Siman Tov Bustan)、穆斯塔法・纳姆尼(Mustafa Naamnih)、尼尔・扎多克(Nir Zadok)和罗尼・巴尔(Roni Bar)在上周发布的一份分析报告中指出:“该漏洞可在任何运行存在缺陷的 MCP 的系统上实现任意命令执行(RCE),攻击者借此能直接访问敏感用户数据、内部数据库、API 密钥以及聊天记录。” 这家网络安全公司表示,这一系统性漏洞存在于 Anthropic 官方的 MCP 软件开发工具包(SDK)中,涵盖所有支持的语言,如 Python、TypeScript、Java 和 Rust。总体而言,它影响了超过 7000 台可公开访问的服务器以及总下载量超 1.5 亿次的软件包。 问题出在 MCP 通过标准输入 / 输出(STDIO)传输接口进行配置时存在不安全的默认设置,由此发现了 10 个漏洞,涉及 LiteLLM、LangChain、LangFlow、Flowise、LettaAI 和 LangBot 等热门项目,具体如下:
 这些漏洞主要分为四大类,均能在服务器上有效触发远程命令执行:
研究人员解释说:“Anthropic 的模型上下文协议在其所有实现中,都通过 STDIO 接口直接将配置转化为命令执行,无论使用何种编程语言。” “这段代码原本旨在启动本地 STDIO 服务器,并将 STDIO 的控制权返回给大语言模型(LLM)。但在实际情况中,任何人都可以运行任意操作系统命令。如果该命令成功创建了 STDIO 服务器,它将返回控制权;但如果执行的是其他命令,命令执行后会返回错误信息。” 有趣的是,过去一年里,基于同一核心问题的漏洞已被独立报告。其中包括 CVE - 2025 - 49596(MCP Inspector)、CVE - 2026 - 22252(LibreChat)、CVE - 2026 - 22688(WeKnora)、CVE - 2025 - 54994(@akoskm/create - mcp - server - stdio)和 CVE - 2025 - 54136(Cursor)。 然而,Anthropic 以这种行为 “符合预期” 为由,拒绝修改该协议的架构。尽管部分供应商已发布补丁,但 Anthropic 的 MCP 参考实现中的这一缺陷仍未得到解决,导致开发者面临代码执行风险。 这些发现凸显了人工智能驱动的集成可能在无意间扩大攻击面。为应对这一威胁,建议阻止对敏感服务的公共 IP 访问,监控 MCP 工具调用,在沙箱中运行支持 MCP 的服务,将外部 MCP 配置输入视为不可信,并且仅从经过验证的来源安装 MCP 服务器。 OX Security 表示:“使这成为一起供应链事件而非单个 CVE 漏洞事件的原因在于,一个架构决策一旦做出,就会悄然扩散到每种语言、每个下游库以及每个信任该协议表面功能的项目中。将责任转移给实施者并不能转移风险,只是模糊了风险的源头。” |
|
|
|
|
|
“快速页面 / 文章重定向”(Quick Page/Post Redirect)插件安装量超 7 万,5 年前被...
多个官方 SAP npm 软件包疑似遭 TeamPCP 供应链攻击,被入侵后用于窃取开发者系统中的...
应用安全公司 Aisle 在开源电子病历平台 OpenEMR 中发现了数十个漏洞,其中包括一些可...
Forescout 的研究显示,数百万远程访问的 RDP 和 VNC 服务器暴露在互联网上,其中数百...
一个严重漏洞影响了除最新版本之外的所有 cPanel 及 WebHost Manager(WHM)控制面板...
在线交易平台罗宾汉(Robinhood)的账户创建流程被威胁行为者利用,他们将网络钓鱼信...
在黑客组织 ShinyHunters 宣称窃取了超 900 万条记录后,美敦力(Medtronic)证实其公...
自 2025 年 9 月起,一个名为 “幻影核心”(PhantomCore)的亲乌克兰黑客行动主义组...
粤ICP备2021058574号-1 |