安全公司OX Security披露,由Anthropic主导的AI工具调用协议MCP存在设计层面的远程代码执行漏洞。攻击者可利用此漏洞在受影响系统上执行任意命令,窃取用户数据、API密钥及聊天记录。
漏洞根源
漏洞源于Anthropic官方SDK在处理STDIO传输时的默认行为。当StdioServerParameters启动子进程时,若开发者未对用户输入进行额外清洗,输入内容可能被直接执行为系统命令。
主要攻击路径
- 配置注入:通过配置界面直接注入命令。
- 命令绕过:利用白名单命令添加换行符等标志绕过清洗。
- 提示注入:在IDE中通过提示注入篡改MCP配置文件,使工具自动连接恶意服务。
- 供应链攻击:通过MCP市场的HTTP请求植入恶意STDIO配置。
影响范围
- 受影响软件包累计下载量超1.5亿次。
- 超过7000台公开MCP服务器暴露,涉及20万个实例及200多个开源项目。
- LiteLLM、LangFlow、Flowise、Windsurf、GPT Researcher等主流AI框架与IDE均受影响。
厂商回应
Anthropic将此问题定性为“预期行为”,认为STDIO模型属于安全默认设计,将输入验证责任归于开发者,拒绝修改协议或SDK。部分厂商如DocsGPT已自行发布补丁。
