Anthropic MCP 设计漏洞可致远程代码执行，威胁人工智能供应链

网络安全研究人员发现，模型上下文协议（MCP）架构存在一个严重的 “设计固有” 弱点，这可能为远程代码执行创造条件，并对人工智能（AI）供应链产生连锁反应。

OX Security 的研究人员莫舍・西曼・托夫・布斯坦（Moshe Siman Tov Bustan）、穆斯塔法・纳姆尼（Mustafa Naamnih）、尼尔・扎多克（Nir Zadok）和罗尼・巴尔（Roni Bar）在上周发布的一份分析报告中指出：“该漏洞可在任何运行存在缺陷的 MCP 的系统上实现任意命令执行（RCE），攻击者借此能直接访问敏感用户数据、内部数据库、API 密钥以及聊天记录。”

这家网络安全公司表示，这一系统性漏洞存在于 Anthropic 官方的 MCP 软件开发工具包（SDK）中，涵盖所有支持的语言，如 Python、TypeScript、Java 和 Rust。总体而言，它影响了超过 7000 台可公开访问的服务器以及总下载量超 1.5 亿次的软件包。

问题出在 MCP 通过标准输入 / 输出（STDIO）传输接口进行配置时存在不安全的默认设置，由此发现了 10 个漏洞，涉及 LiteLLM、LangChain、LangFlow、Flowise、LettaAI 和 LangBot 等热门项目，具体如下：

• CVE - 2025 - 65720（GPT Researcher）
• CVE - 2026 - 30623（LiteLLM） - 已修复
• CVE - 2026 - 30624（Agent Zero）
• CVE - 2026 - 30618（Fay Framework）
• CVE - 2026 - 33224（Bisheng） - 已修复
• CVE - 2026 - 30617（Langchain - Chatchat）
• CVE - 2026 - 33224（Jaaz）
• CVE - 2026 - 30625（Upsonic）
• CVE - 2026 - 30615（Windsurf）
• CVE - 2026 - 26015（DocsGPT） - 已修复
• CVE - 2026 - 40933（Flowise）
  

这些漏洞主要分为四大类，均能在服务器上有效触发远程命令执行：

• 通过 MCP STDIO 进行未经身份验证和已身份验证的命令注入；
• 通过绕过强化机制的直接 STDIO 配置进行未经身份验证的命令注入；
• 通过零点击提示注入对 MCP 配置进行编辑，实现未经身份验证的命令注入；
• 通过网络请求，经 MCP 市场进行未经身份验证的命令注入，触发隐藏的 STDIO 配置。
  

研究人员解释说：“Anthropic 的模型上下文协议在其所有实现中，都通过 STDIO 接口直接将配置转化为命令执行，无论使用何种编程语言。”

“这段代码原本旨在启动本地 STDIO 服务器，并将 STDIO 的控制权返回给大语言模型（LLM）。但在实际情况中，任何人都可以运行任意操作系统命令。如果该命令成功创建了 STDIO 服务器，它将返回控制权；但如果执行的是其他命令，命令执行后会返回错误信息。”

有趣的是，过去一年里，基于同一核心问题的漏洞已被独立报告。其中包括 CVE - 2025 - 49596（MCP Inspector）、CVE - 2026 - 22252（LibreChat）、CVE - 2026 - 22688（WeKnora）、CVE - 2025 - 54994（@akoskm/create - mcp - server - stdio）和 CVE - 2025 - 54136（Cursor）。

然而，Anthropic 以这种行为 “符合预期” 为由，拒绝修改该协议的架构。尽管部分供应商已发布补丁，但 Anthropic 的 MCP 参考实现中的这一缺陷仍未得到解决，导致开发者面临代码执行风险。

这些发现凸显了人工智能驱动的集成可能在无意间扩大攻击面。为应对这一威胁，建议阻止对敏感服务的公共 IP 访问，监控 MCP 工具调用，在沙箱中运行支持 MCP 的服务，将外部 MCP 配置输入视为不可信，并且仅从经过验证的来源安装 MCP 服务器。

OX Security 表示：“使这成为一起供应链事件而非单个 CVE 漏洞事件的原因在于，一个架构决策一旦做出，就会悄然扩散到每种语言、每个下游库以及每个信任该协议表面功能的项目中。将责任转移给实施者并不能转移风险，只是模糊了风险的源头。”