找回密码
 立即注册
搜索

Anthropic MCP 设计漏洞可致远程代码执行,威胁人工智能供应链

作者:admin | 时间:2026-4-22 05:11:35 | 阅读:168| 显示全部楼层

马上注册,让你轻松玩转程序园

您需要 登录 才可以下载或查看,没有账号?立即注册

x
网络安全研究人员发现,模型上下文协议(MCP)架构存在一个严重的 “设计固有” 弱点,这可能为远程代码执行创造条件,并对人工智能(AI)供应链产生连锁反应。

OX Security 的研究人员莫舍・西曼・托夫・布斯坦(Moshe Siman Tov Bustan)、穆斯塔法・纳姆尼(Mustafa Naamnih)、尼尔・扎多克(Nir Zadok)和罗尼・巴尔(Roni Bar)在上周发布的一份分析报告中指出:“该漏洞可在任何运行存在缺陷的 MCP 的系统上实现任意命令执行(RCE),攻击者借此能直接访问敏感用户数据、内部数据库、API 密钥以及聊天记录。”

这家网络安全公司表示,这一系统性漏洞存在于 Anthropic 官方的 MCP 软件开发工具包(SDK)中,涵盖所有支持的语言,如 Python、TypeScript、Java 和 Rust。总体而言,它影响了超过 7000 台可公开访问的服务器以及总下载量超 1.5 亿次的软件包。

问题出在 MCP 通过标准输入 / 输出(STDIO)传输接口进行配置时存在不安全的默认设置,由此发现了 10 个漏洞,涉及 LiteLLM、LangChain、LangFlow、Flowise、LettaAI 和 LangBot 等热门项目,具体如下:

  • CVE - 2025 - 65720(GPT Researcher)
  • CVE - 2026 - 30623(LiteLLM) - 已修复
  • CVE - 2026 - 30624(Agent Zero)
  • CVE - 2026 - 30618(Fay Framework)
  • CVE - 2026 - 33224(Bisheng) - 已修复
  • CVE - 2026 - 30617(Langchain - Chatchat)
  • CVE - 2026 - 33224(Jaaz)
  • CVE - 2026 - 30625(Upsonic)
  • CVE - 2026 - 30615(Windsurf)
  • CVE - 2026 - 26015(DocsGPT) - 已修复
  • CVE - 2026 - 40933(Flowise)

1776738230497593969_operating.png

这些漏洞主要分为四大类,均能在服务器上有效触发远程命令执行:

  • 通过 MCP STDIO 进行未经身份验证和已身份验证的命令注入;
  • 通过绕过强化机制的直接 STDIO 配置进行未经身份验证的命令注入;
  • 通过零点击提示注入对 MCP 配置进行编辑,实现未经身份验证的命令注入;
  • 通过网络请求,经 MCP 市场进行未经身份验证的命令注入,触发隐藏的 STDIO 配置。

研究人员解释说:“Anthropic 的模型上下文协议在其所有实现中,都通过 STDIO 接口直接将配置转化为命令执行,无论使用何种编程语言。”

“这段代码原本旨在启动本地 STDIO 服务器,并将 STDIO 的控制权返回给大语言模型(LLM)。但在实际情况中,任何人都可以运行任意操作系统命令。如果该命令成功创建了 STDIO 服务器,它将返回控制权;但如果执行的是其他命令,命令执行后会返回错误信息。”

有趣的是,过去一年里,基于同一核心问题的漏洞已被独立报告。其中包括 CVE - 2025 - 49596(MCP Inspector)、CVE - 2026 - 22252(LibreChat)、CVE - 2026 - 22688(WeKnora)、CVE - 2025 - 54994(@akoskm/create - mcp - server - stdio)和 CVE - 2025 - 54136(Cursor)。

然而,Anthropic 以这种行为 “符合预期” 为由,拒绝修改该协议的架构。尽管部分供应商已发布补丁,但 Anthropic 的 MCP 参考实现中的这一缺陷仍未得到解决,导致开发者面临代码执行风险。

这些发现凸显了人工智能驱动的集成可能在无意间扩大攻击面。为应对这一威胁,建议阻止对敏感服务的公共 IP 访问,监控 MCP 工具调用,在沙箱中运行支持 MCP 的服务,将外部 MCP 配置输入视为不可信,并且仅从经过验证的来源安装 MCP 服务器。

OX Security 表示:“使这成为一起供应链事件而非单个 CVE 漏洞事件的原因在于,一个架构决策一旦做出,就会悄然扩散到每种语言、每个下游库以及每个信任该协议表面功能的项目中。将责任转移给实施者并不能转移风险,只是模糊了风险的源头。”

大神点评1

JeffreyPelry 发表于:2026-6-8 18:25:12

Электроды Петлевые Ellman

Высокочастотный радиоволновой хирургический генератор нового поколения  (4,0 МГц) незаменима во всех видах амбулаторной и малой хирургии https://ellman.ru/diamond

КОМПЛЕКСНОЕ ОСНАЩЕНИЕ ЛПУ МЕДЛАБКОМ https://ellman.ru/diamond

РАДИОВОЛНОВЫЕ АППАРАТЫ SURGITRON https://ellman.ru/accessories

Учебное пособие
РАССЧИТАТЬ СТОИМОСТЬ https://ellman.ru/plates

Разрез и коагуляция , происходящие одновременно https://ellman.ru/ball

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
黑客现已利用关键 Oracle E-Business 漏洞发起攻击
黑客现已利用关键 Oracle E-Business 漏洞发起攻击
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应用程序中的一个关键漏
关键 SimpleHelp 漏洞被利用以部署新型窃密恶意软件
关键 SimpleHelp 漏洞被利用以部署新型窃密恶意软件
黑客正在利用 SimpleHelp 中一个最近披露的关键漏洞(CVE-2026-48558)来部署 Djinn Stealer,这是一种此前
美国查封数百个 FIFA 世界杯非法流媒体域名
美国查封数百个 FIFA 世界杯非法流媒体域名
美国司法部刑事局查封了近 400 个用于非法流媒体播放 FIFA 世界杯比赛的网站域名。这些网站向访问者提供 20
Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客
Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜黑客组织 Sapphire Sle
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案错误地标记为恶意软件
日本能源公司丢失存储有 1090 万客户数据的硬盘
日本能源公司丢失存储有 1090 万客户数据的硬盘
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一份官方公告中,该公司
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属机构运营的,负责实施
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和
皇家山大学确认遭入侵,黑客声称对攻击负责
卡尔加里的皇家山大学表示,黑客在入侵该校网络后,从其文件存储系统中窃取并删除了数
严重漏洞暴露 GitHub Agentic Workflows 面
Noma Labs 警告称,GitHub Agentic Workflows 中存在一个严重的提示注入漏洞,可能允
Google Dialogflow CX 漏洞可让攻击者劫持
Varonis 报告称,Google Cloud 的 Dialogflow CX 服务中存在一个漏洞,可能允许攻击者
Оправы Медицинские Дл
Чтобы выбрать качественные солнцезащитные
Citrix 修复六个 NetScaler 漏洞,涉及文件
Citrix 周二发布了安全更新,以解决 NetScaler ADC 和 NetScaler Gateway 中的多个漏
"DirtyClone" Linux 内核漏洞可获取 Root
JFrog 发布了针对近期一个高严重性 Linux 内核漏洞的技术细节和概念验证代码,该漏洞
日产披露与 Oracle 零日攻击相关的员工数据
日产汽车警告称,在威胁行为者利用 Oracle PeopleSoft 漏洞进行与此前与 ShinyHunters
黑客现已利用关键 Oracle E-Business 漏洞
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应
Microsoft 将 Mastra AI 供应链攻击归因于
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜
Siemens 称 Desigo CC 文件被安全引擎标记
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案