安全研究团队 OX Security 报告称 Anthropic 创建与维护的 MCP(Model Context Protocol)存在架构性设计缺陷,可被利用导致服务器执行任意代码(RCE)。漏洞存在于官方 MCP SDK(包括 Python、TypeScript、Java、Rust 等语言实现),研究人员识别出未认证 UI 注入、安全加固绕过、提示词注入、恶意插件分发等四类攻击路径,并在 LiteLLM、LangChain、IBM LangFlow 等真实项目中成功利用,已分配至少 10 个高危 CVE。研究团队曾多次要求 Anthropic 修复,但对方认为属“预期设计”并拒绝改动。建议将大模型及相关工具避免暴露于公网、将 MCP 输入视为不可信数据、启用沙箱隔离并及时更新与收紧权限。
4 月 18 日消息,安全研究团队 OX Security 本周(4 月 15 日)发现,Anthropic 创建、维护的行业标准 AI 通信协议 MCP(IT之家注:Model Context Protocol)存在设计缺陷,可导致服务器被诱导执行任意代码(RCE)。
据介绍,该漏洞并非普通的疏忽,而是架构层面的设计缺陷并存在于官方 MCP SDK 中。影响 Python、TypeScript、Java 和 Rust 等所有支持语言,等于说任何基于 MCP 构建的项目都存在这一风险。
研究人员主要识别出未认证 UI 注入攻击、安全加固绕过、提示词注入、恶意插件分发等四种主流攻击路径,并在多个真实生产环境中成功利用漏洞。
目前,该机构已在 LiteLLM、LangChain、IBM LangFlow 等主流项目中发现关键漏洞,目前已分配 10 个 CVE 编号且仍在不断增加,均属“严重”级别。
研究团队透露,他们曾多次联系 Anthropic 并希望修复漏洞。但对方拒绝修改架构,并称该行为属于“预期设计”。
团队随后告知公司,将公开研究成果。对方未提出异议。
团队建议,所有用户都不应该将大语言模型、AI 工具等暴露在公网环境,并且将 MCP 输入直接视为不可信数据,防止提示词注入。同时启用沙箱环境运行服务并时刻更新最新软件,将权限锁住。