Anthropic MCP 中存在严重漏洞,导致开发人员计算机遭受远程攻击
研究人员在人工智能 (AI) 公司 Anthropic 的模型上下文协议 (MCP) 检查器项目中发现了一个严重的安全漏洞,该漏洞可能导致远程代码执行 (RCE) 并允许攻击者完全访问主机。
该漏洞编号为 CVE-2025-49596,CVSS 评分为 9.4(满分 10.0)。
Oligo Security 的 Avi Lumelsky 在上周发布的一份报告中指出:“这是 Anthropic MCP 生态系统中首批关键的远程代码执行漏洞之一,暴露出一种针对 AI 开发者工具的新型基于浏览器的攻击。”
“通过在开发者的机器上执行代码,攻击者可以窃取数据、安装后门并在网络中横向移动——这凸显了依赖 MCP 的 AI 团队、开源项目和企业用户面临的严重风险。”
MCP 由 Anthropic 于 2024 年 11 月推出,是一种开放协议,它规范了大型语言模型 (LLM) 应用程序与外部数据源和工具集成和共享数据的方式。
MCP Inspector 是一款用于测试和调试 MCP 服务器的开发者工具,它通过协议公开特定功能,并允许 AI 系统访问和交互其训练数据以外的信息。
它包含两个组件:一个提供交互式测试和调试界面的客户端,以及一个将 Web UI 连接到不同 MCP 服务器的代理服务器。
然而,需要牢记的一个关键安全注意事项是,服务器不应暴露在任何不受信任的网络中,因为它有权生成本地进程并连接到任何指定的 MCP 服务器。
Oligo 表示,这一点,再加上开发者用于启动本地版本工具的默认设置存在“重大”安全风险(例如缺少身份验证和加密),开辟了新的攻击途径。
“这种错误配置会造成严重的攻击面,因为任何能够访问本地网络或公共互联网的人都可能与这些服务器交互并利用这些服务器,”Lumelsky 说道。
此次攻击通过将影响现代网络浏览器的已知安全漏洞(称为 0.0.0.0 Day)与 Inspector 中的跨站点请求伪造 (CSRF) 漏洞(CVE-2025-49596)结合起来,只需访问恶意网站即可在主机上运行任意代码。
Lumelsky 解释说:“攻击者可以通过构建一个恶意网站来利用此漏洞,该网站会向 MCP 服务器上运行的 localhost 服务发送请求,从而获得在开发者机器上执行任意命令的能力。”
“默认配置将 MCP 服务器暴露于此类攻击,这意味着许多开发者可能无意中为其机器打开了后门。”
具体来说,该概念验证 (PoC) 利用服务器发送事件 (SSE) 端点从攻击者控制的网站发送恶意请求,从而在运行该工具的机器上实现远程代码执行 (RCE),即使该机器正在监听 localhost (127.0.0.1)。
之所以能够成功,是因为 IP 地址 0.0.0.0 会指示操作系统监听分配给该机器的所有 IP 地址,包括本地环回接口(即 localhost)。
Oligo Security 的 Avi Lumelsky 在上周发布的一份报告中指出:“这是 Anthropic MCP 生态系统中首批关键的远程代码执行漏洞之一,暴露出一种针对 AI 开发者工具的新型基于浏览器的攻击。”
“通过在开发者的机器上执行代码,攻击者可以窃取数据、安装后门并在网络中横向移动——这凸显了依赖 MCP 的 AI 团队、开源项目和企业用户面临的严重风险。”
MCP 由 Anthropic 于 2024 年 11 月推出,是一种开放协议,它规范了大型语言模型 (LLM) 应用程序与外部数据源和工具集成和共享数据的方式。
MCP Inspector 是一款用于测试和调试 MCP 服务器的开发者工具,它通过协议公开特定功能,并允许 AI 系统访问和交互其训练数据以外的信息。
它包含两个组件:一个提供交互式测试和调试界面的客户端,以及一个将 Web UI 连接到不同 MCP 服务器的代理服务器。
然而,需要牢记的一个关键安全注意事项是,服务器不应暴露在任何不受信任的网络中,因为它有权生成本地进程并连接到任何指定的 MCP 服务器。
Oligo 表示,这一点,再加上开发者用于启动本地版本工具的默认设置存在“重大”安全风险(例如缺少身份验证和加密),开辟了新的攻击途径。
“这种错误配置会造成严重的攻击面,因为任何能够访问本地网络或公共互联网的人都可能与这些服务器交互并利用这些服务器,”Lumelsky 说道。
此次攻击通过将影响现代网络浏览器的已知安全漏洞(称为 0.0.0.0 Day)与 Inspector 中的跨站点请求伪造 (CSRF) 漏洞(CVE-2025-49596)结合起来,只需访问恶意网站即可在主机上运行任意代码。
Lumelsky 解释说:“攻击者可以通过构建一个恶意网站来利用此漏洞,该网站会向 MCP 服务器上运行的 localhost 服务发送请求,从而获得在开发者机器上执行任意命令的能力。”
“默认配置将 MCP 服务器暴露于此类攻击,这意味着许多开发者可能无意中为其机器打开了后门。”
具体来说,该概念验证 (PoC) 利用服务器发送事件 (SSE) 端点从攻击者控制的网站发送恶意请求,从而在运行该工具的机器上实现远程代码执行 (RCE),即使该机器正在监听 localhost (127.0.0.1)。
之所以能够成功,是因为 IP 地址 0.0.0.0 会指示操作系统监听分配给该机器的所有 IP 地址,包括本地环回接口(即 localhost)。
关于作者
评论0次