【安全圈】Anthropic MCP 設計漏洞可致遠程代碼執行，威脅人工智能供應鏈

關鍵詞

漏洞

網絡安全研究人員發現，模型上下文協議（MCP）架構存在一個嚴重的 “設計固有” 弱點，這可能為遠程代碼執行創造條件，并對人工智能（AI）供應鏈產生連鎖反應。

OX Security 的研究人員莫舍?西曼?托夫?布斯坦（Moshe Siman Tov Bustan）、穆斯塔法?納姆尼（Mustafa Naamnih）、尼爾?扎多克（Nir Zadok）和羅尼?巴爾（Roni Bar）在上周發布的一份分析報告中指出：“該漏洞可在任何運行存在缺陷的 MCP 的系統上實現任意命令執行（RCE），攻擊者借此能直接訪問敏感用戶數據、內部數據庫、API 密鑰以及聊天記錄。”

這家網絡安全公司表示，這一系統性漏洞存在于 Anthropic 官方的 MCP 軟件開發工具包（SDK）中，涵蓋所有支持的語言，如 Python、TypeScript、Java 和 Rust。總體而言，它影響了超過 7000 臺可公開訪問的服務器以及總下載量超 1.5 億次的軟件包。

問題出在 MCP 通過標準輸入 / 輸出（STDIO）傳輸接口進行配置時存在不安全的默認設置，由此發現了 10 個漏洞，涉及 LiteLLM、LangChain、LangFlow、Flowise、LettaAI 和 LangBot 等熱門項目，具體如下：

• CVE - 2025 - 65720（GPT Researcher）

• CVE - 2026 - 30623（LiteLLM） - 已修復

• CVE - 2026 - 30624（Agent Zero）

• CVE - 2026 - 30618（Fay Framework）

• CVE - 2026 - 33224（Bisheng） - 已修復

• CVE - 2026 - 30617（Langchain - Chatchat）

• CVE - 2026 - 33224（Jaaz）

• CVE - 2026 - 30625（Upsonic）

• CVE - 2026 - 30615（Windsurf）

• CVE - 2026 - 26015（DocsGPT） - 已修復

• CVE - 2026 - 40933（Flowise）

這些漏洞主要分為四大類，均能在服務器上有效觸發遠程命令執行：

• 通過 MCP STDIO 進行未經身份驗證和已身份驗證的命令注入；

• 通過繞過強化機制的直接 STDIO 配置進行未經身份驗證的命令注入；

• 通過零點擊提示注入對 MCP 配置進行編輯，實現未經身份驗證的命令注入；

• 通過網絡請求，經 MCP 市場進行未經身份驗證的命令注入，觸發隱藏的 STDIO 配置。

研究人員解釋說：“Anthropic 的模型上下文協議在其所有實現中，都通過 STDIO 接口直接將配置轉化為命令執行，無論使用何種編程語言。”

“這段代碼原本旨在啟動本地 STDIO 服務器，并將 STDIO 的控制權返回給大語言模型（LLM）。但在實際情況中，任何人都可以運行任意操作系統命令。如果該命令成功創建了 STDIO 服務器，它將返回控制權；但如果執行的是其他命令，命令執行后會返回錯誤信息。”

有趣的是，過去一年里，基于同一核心問題的漏洞已被獨立報告。其中包括 CVE - 2025 - 49596（MCP Inspector）、CVE - 2026 - 22252（LibreChat）、CVE - 2026 - 22688（WeKnora）、CVE - 2025 - 54994（@akoskm/create - mcp - server - stdio）和 CVE - 2025 - 54136（Cursor）。

然而，Anthropic 以這種行為 “符合預期” 為由，拒絕修改該協議的架構。盡管部分供應商已發布補丁，但 Anthropic 的 MCP 參考實現中的這一缺陷仍未得到解決，導致開發者面臨代碼執行風險。

這些發現凸顯了人工智能驅動的集成可能在無意間擴大攻擊面。為應對這一威脅，建議阻止對敏感服務的公共 IP 訪問，監控 MCP 工具調用，在沙箱中運行支持 MCP 的服務，將外部 MCP 配置輸入視為不可信，并且僅從經過驗證的來源安裝 MCP 服務器。

OX Security 表示：“使這成為一起供應鏈事件而非單個 CVE 漏洞事件的原因在于，一個架構決策一旦做出，就會悄然擴散到每種語言、每個下游庫以及每個信任該協議表面功能的項目中。將責任轉移給實施者并不能轉移風險，只是模糊了風險的源頭。”

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！