安托特报员:安全公司OX Security披露,由Anthropic牵头的开放标准MCP(Model Context Protocol)在架构上存在严重设计缺陷。问题集中在MCP官方SDK的STDIO接口:该接口在启动本地子进程时会先执行传入的操作系统命令,且无输入验证、过滤或沙箱隔离,导致即便目标服务器未成功运行,命令仍会被执行。研究团队强调这是设计决策层面的系统性风险,而非单纯代码漏洞,影响包括Python、TypeScript、Java、Go、Rust等主流语言的官方SDK。估计已有200多个开源项目受到牵连,相关套件累计下载量超过1.5亿次,公开暴露的MCP服务器超7000台,潜在受影响实例可能高达20万。研究人员在6个正式运营平台上成功演示概念验证攻击,受影响的知名项目包括LiteLLM、LangChain及IBM旗下的LangFlow等,并已在下游项目中揭露10余个高风险与重大CVE。团队归纳出四类攻击向量:通过AI框架的未授权UI注入、绕过受保护环境的防御、针对AI IDE的零点击提示注入,以及在MCP市集中散布恶意服务器。实验中,研究者向11个MCP市集上传概念性恶意服务器,9个市集在未做安全审查下直接接受,仅GitHub托管的Registry拦截提交。部分受影响项目如LiteLLM、DocsGPT、Bisheng已发布修补,Agent Zero与Fay Framework仍处已通报状态;而Anthropic则回应称STDIO机制本用于启动本地子程序,相关行为属预期设计,暂不修改协议架构。
想了解更多,欢迎访问 探索世界,掌握旅游资讯与国际动态,分享最真实的生活故事
评论
发表评论