返回首页

Anthropic 的 MCP 漏洞:RCE 和双重标准

Anthropic MCP 协议中允许远程代码执行的关键漏洞分析。尽管负责任披露,公司拒绝修复,继续推广 AI 作为查找他人漏洞的工具。

Anthropic 忽略其 MCP 协议中的 RCE — 这是它的工作原理
Advertisement 728x90

Anthropic 的 MCP 协议存在漏洞:公司为何忽略其技术栈中的 RCE

OX Security 的研究人员发现,Anthropic 的模型上下文协议 (MCP) 中存在一个关键漏洞,可通过本地服务器实现远程代码执行 (RCE)。尽管从 2025 年 11 月起已进行了 30 多轮负责任披露,Anthropic 仍拒绝进行架构性修改,认为这种行为“符合预期”。与此同时,该公司积极推广其 AI 模型作为发现第三方项目漏洞的工具。

MCP 核心架构缺陷

MCP 协议旨在通过启动本地子进程,实现 AI 代理与外部工具的交互。问题出现在命令处理阶段:协议并未严格验证可执行文件路径,而是接受任意字符串作为命令。如果命令成功并打开端口,系统即认为其有效;否则返回错误——但命令早已执行。这使得主机上可实现任意代码执行,且无进一步检查。

该漏洞影响所有官方 Anthropic SDK——Python、TypeScript、Java、C#、Go、Ruby、Swift、PHP 和 Rust。任何使用 MCP 的开发者都会自动继承此风险。OX Security 估计,高达 20 万台服务器以及超过 1.5 亿次 SDK 下载的生态系统均暴露在风险中。

Google AdInline article slot

四种攻击向量

OX 团队识别出四种主要利用该漏洞的方式:

  • 通过 Web 界面直接访问——缺少认证和过滤机制,使攻击者可通过 LangFlow (IBM) 和 GPT Researcher 界面执行任意命令。
  • 绕过白名单——即使仅允许安全工具(例如 npx),攻击者仍可通过命令参数注入恶意软件。Upsonic 和 Flowise 存在漏洞。
  • AI 代码编辑器——Cursor、Windsurf、Claude Code、Gemini-CLI 和 GitHub Copilot 等工具可自动应用包含漏洞利用的配置。仅为 Windsurf 发布了 CVE;其他厂商,包括 Google 和 Microsoft,拒绝承认问题。
  • MCP 目录中的恶意包——研究人员向 11 个公共市场中的 9 个上传了利用包。只有 GitHub 的托管注册表拒绝了提交。

安全双重标准

Anthropic 将其 Claude Opus 4.6 模型定位为漏洞检测领导者:据公司称,它在流行开源库中发现了 500 多个此前未知的漏洞。2026 年 4 月,Project Glasswing 项目推出,搭载更强大的 Mythos 模型,可检测 Linux 内核、FreeBSD、OpenBSD、FFmpeg 和主要浏览器的零日漏洞。

然而,在这些宣传中,公司却忽略了自身的关键缺陷。在 OX Security 的初步报告后,Anthropic 仅在其 SECURITY.md 文件中添加了一条警告:“STDIO 适配器应谨慎使用。”研究人员认为,这并未解决架构性问题。

Google AdInline article slot

建议与当前状态

在官方补丁发布前,OX Security 建议:

  • 不要将 MCP 服务公开暴露;
  • 严格验证所有传入配置和命令;
  • 在隔离环境中以最小权限运行 MCP 进程(例如通过 gVisor 或 Firecracker)。

已有几个项目发布了自家修复:LiteLLM、DocsGPT、Flowise 和 Bisheng。然而,LangFlow、Agent Zero 和 Fay Framework 等平台仍存在漏洞。Anthropic 坚持认为协议行为符合预期,且无修改计划。

关键要点

  • MCP 漏洞通过不受控命令执行引发 RCE,尤其在启动本地服务器时。
  • 所有官方 Anthropic SDK 均受影响——这是系统性问题,而非孤立事件。
  • 尽管 30 多轮负责任披露,Anthropic 拒绝架构性修复。
  • 公司推广 AI 发现他人漏洞,却忽略自身问题。
  • 开发者应隔离 MCP 进程,并避免信任外部配置。

— Editorial Team

Google AdInline article slot
Advertisement 728x90

继续阅读