一份安全报告,让AI开发者圈子里绷紧了一根弦。
网络安全公司OX Security于4月15日发布调查报告,披露Anthropic的MCP(模型上下文协议)存在架构层面的设计缺陷,可导致远程代码执行,影响超过20万台AI服务器。
MCP是Anthropic于2024年11月推出的开源标准,旨在让AI大模型无缝连接并操作各种外部数据和工具,目前已被大量开发者用于构建AI应用。
问题的根源藏在MCP SDK的STDIO接口中。这个接口本来的设计用途是启动本地服务器进程,但底层执行逻辑存在严重隐患——它会运行任何传入的操作系统命令,即便服务器启动返回失败错误,命令依然会被执行,全程没有校验,没有警告。OX Security明确指出,这不是代码层面的低级失误,而是架构设计上的决策问题。
漏洞波及范围极广,覆盖Anthropic官方支持的全部11种编程语言,包括Python、Typescript、Java、Go、Rust等主流语言。任何基于MCP构建的开发者,都会自动继承这一风险。
OX Security历时数月,在真实环境中验证了四类攻击方式。LangFlow平台有915个公开实例,攻击者无需账户即可获取会话令牌并实现完整接管;Letta AI遭中间人攻击,研究者直接在生产服务器执行任意命令;Flowise的白名单过滤防护被轻松绕过;最严重的是Windsurf IDE漏洞,用户仅需访问一个恶意网站,无需任何点击,攻击者即可在本地执行任意命令,该漏洞已获得CVE编号。
Anthropic于今年1月7日收到漏洞通报后回应称属于"预期行为",9天后仅更新了一份安全文档,提示开发者谨慎使用STDIO适配器,未作任何架构层面的改动。
研究者还向11个主流MCP市场上传了恶意服务器用于测试,结果9个直接通过,无任何安全审查,仅GitHub的托管注册表拦截了提交。
目前LiteLLM、DocsGPT、Flowise等平台已发布补丁,但LangFlow、Agent Zero等仍待修复,协议层的根本问题依然敞开着。对于正在使用或计划使用MCP构建应用的开发者来说,这份报告值得认真对待。
