安托特报员获悉,安全公司OX Security披露Anthropic主导的开放标准MCP(Model Context Protocol)在架构上存在严重设计缺陷,源于其SDK的STDIO接口。该接口本用于启动本地子程序,但在实际运作中会在未做输入验证或隔离的情况下直接执行传入的操作系统命令,导致MCP服务器可被诱导执行任意命令,进而外泄敏感资料、API金钥与对话记录。研究团队强调这并非单纯程式码错误,而是先执行后验证的架构决策;影响波及Anthropic官方支持的多种语言SDK(Python、TypeScript、Java、Go、Rust等)。研究估计受影响开源专案逾200个、相关套件下载量累计超过1.5亿次,公开暴露的MCP伺服器超7000台,潜在受影响实例可能高达20万。团队在6个营运平台上执行PoC攻击成功,受影响项目包括LiteLLM、LangChain与LangFlow等。研究还归纳出四大攻击路径:未授权UI注入、绕过受保护环境、AI IDE的零点击提示注入,以及在MCP市集中散布恶意伺服器。团队曾向11个MCP市集上传概念验证用的恶意伺服器,结果9个在未审查下直接接纳,仅有GitHub的注册库拦截提交。Anthropic回应称STDIO用于启动本机子程序属预期行为,暂未修改协议架构。已有LiteLLM、DocsGPT、Bisheng等专案发布修补,Agent Zero与Fay Framework仍在通报处理中。此事件凸显AI供应链的系统性风险,建议生态圈立即限制或禁用STDIO启动权限、强化输入验证与沙箱隔离,并对市集提交实施严格安全审查,尽速评估与修补以防大规模泄露。
重磅!开源AI协议被挖出惊天后门,百万实例随时可被远控?
