ME News 報導,4 月 21 日(UTC+8),根據動察 Beating 監測,安全公司 OX Security 近日披露,由 Anthropic 主導的開放協議 MCP(Model Context Protocol,AI 代理調用外部工具的事實標準)存在設計層面的遠端代碼執行漏洞。攻擊者可在任何運行有漏洞 MCP 實現的系統上執行任意指令,獲取用戶數據、內部資料庫、API 金鑰和聊天記錄。漏洞並非源於實現者的編碼失誤,而是 Anthropic 官方 SDK 在處理 STDIO 傳輸時的預設行為,Python、TypeScript、Java、Rust 四個語言版本均受影響。STDIO 是 MCP 的一種傳輸方式,讓本地進程透過標準輸入輸出進行通信。官方 SDK 中的 StdioServerParameters 會直接根據配置中的命令參數啟動子進程,若開發者未額外進行輸入清洗,任何能觸及此步驟的用戶輸入都會轉變為系統指令。OX Security 將攻擊面歸為四類:直接在配置介面注入指令;利用白名單允許的指令加上行標誌繞過清洗(例如 `npx -c `);在 IDE 中透過提示注入改寫 MCP 配置文件,讓 Windsurf 之類的工具無需用戶互動即可啟動惡意 STDIO 服務;以及透過 MCP 市場的 HTTP 請求偷偷嵌入 STDIO 配置。OX Security 提供的數據顯示:受影響的軟體包累計下載超過 1.5 億次,公開可訪問的 MCP 伺服器超過 7,000 台,合計暴露最多 20 萬個實例,涉及 200 多個開源項目。該團隊已提交 30 份以上責任披露,獲得 10 個以上高危或嚴重級 CVE,涵蓋 LiteLLM、LangFlow、Flowise、Windsurf、GPT Researcher、Agent Zero、DocsGPT 等 AI 框架與 IDE;在測試的 11 個 MCP 包倉庫中,有 9 個可被此手法植入惡意配置。披露後,Anthropic 回應稱這是「預期行為」(by design),STDIO 的執行模型屬於「安全的預設設計」,並將輸入清洗的責任劃歸開發者,拒絕在協議或官方 SDK 層面進行修改。DocsGPT、LettaAI 等廠商已自行發布修補程式,但 Anthropic 參考實作的預設行為未變。MCP 已成為 AI 代理連接外部工具的事實標準,OpenAI、Google、微軟均在跟進。在根本問題未修復的情況下,任何沿用官方 SDK 預設方式接入 STDIO 的 MCP 服務,即使自身未寫錯一行代碼,仍可能成為攻擊入口。(來源:BlockBeats)
MCP 協議暴露設計層級的 RCE 漏洞,Anthropic 拒絕更改架構
KuCoinFlash分享
精華摘要
Anthropic 主導的開放協議 Model Context Protocol(MCP)被發現存在設計層面的遠程式碼執行(RCE)漏洞,攻擊者可利用此漏洞在使用易受攻擊實現的系統上執行任意指令。該問題源於 Anthropic 官方 SDK 在處理 STDIO 傳輸時的預設行為,影響多種程式語言。OX Security 報告指出,受影響的套件累計下載量超過 1.5 億次,並有數千個實例暴露在外。Anthropic 拒絕修改協議或 SDK 的預設行為,稱此行為為「設計使然」。此漏洞新聞凸顯了當前協議更新所伴隨的風險。
來源:顯示原文
免責聲明:本頁面資訊可能來自第三方,不一定反映KuCoin的觀點或意見。本內容僅供一般參考之用,不構成任何形式的陳述或保證,也不應被解釋為財務或投資建議。 KuCoin 對任何錯誤或遺漏,或因使用該資訊而導致的任何結果不承擔任何責任。
虛擬資產投資可能存在風險。請您根據自身的財務狀況仔細評估產品的風險以及您的風險承受能力。如需了解更多信息,請參閱我們的使用條款和風險披露 。