MCP设计缺陷波及超20万台服务器、3万代码库,Anthropic发警示文档草草回应
背景介绍
Model Context Protocol(MCP)是由AI公司Anthropic于2024年11月推出的开源协议,旨在为AI大模型提供一个标准化的接口,使其能够无缝连接并操作各种外部数据和工具。该协议迅速被多个AI开发平台和集成开发环境(IDE)采纳,成为AI生态系统中的关键组成部分。
然而,网络安全公司OX Security在2026年4月15日发布的一份报告中指出,MCP存在严重的架构级设计缺陷,可被利用于远程代码执行攻击。这一漏洞潜藏在SDK的STDIO接口中,涉及Anthropic支持的11种编程语言,包括Python、TypeScript、Java、Kotlin、C#、Go、Ruby、Swift、PHP和Rust。
漏洞详情
MCP的STDIO接口原本设计用于启动本地服务器进程,并将控制权交由AI模型管理。但OX Security发现,该接口在底层执行逻辑中会无条件运行任何传入的OS命令,即便在模拟服务器启动失败返回错误时,这些命令依然会被执行,且全程没有校验机制或用户警告提示。
该漏洞并非简单的代码错误,而是源于协议的架构设计。OX Security在报告中指出,这种设计决策本身存在安全隐患。他们识别出四种主要攻击模式,并在真实环境中成功验证了其危害性:
- LangFlow平台攻击:存在915个公开实例,攻击者可在不拥有账户的情况下获取会话令牌,推送恶意配置实现服务器完全接管。
- Letta AI平台攻击:通过中间人攻击拦截“测试连接”请求并替换载荷,从而在生产服务器上执行任意命令。
- Flowise平台绕过防护:尽管该平台尝试通过命令白名单和特殊字符过滤进行防护,研究者仍能借助
npx的-c参数绕过这些限制。 - 开发者终端攻击:以Windsurf IDE为例,攻击者可通过用户访问恶意网站实现本地任意命令执行,该漏洞编号为CVE-2026-30615。
影响范围
此次漏洞波及范围极其广泛,不仅涉及Anthropic官方SDK支持的11种语言,还影响了所有基于MCP构建的代码库和平台。OX Security统计显示,全球超过20万台AI服务器受到影响,波及3万个代码库。
多个知名AI开发工具和平台已被确认存在风险,包括:
- Cursor
- Claude Code
- Gemini-CLI
- GitHub Copilot
部分平台如LiteLLM、DocsGPT、Flowise、Bisheng已发布补丁。然而LangFlow、Agent Zero等仍未修复,且由于问题出在协议架构层面,即便个别平台修补了局部漏洞,整体生态系统仍处于开放风险之中。
Anthropic的回应
Anthropic在2026年1月7日收到OX Security的漏洞通报后,迅速回应称该行为“属于设计预期”,即协议本就允许AI模型在特定条件下执行系统命令。9天后,该公司仅更新了SECURITY.md文档,提醒开发者谨慎使用STDIO适配器,并未对MCP的核心架构进行任何修改。
这一回应引发了安全界和开发者社区的强烈不满。研究者进一步测试了11个主流MCP市场平台,发现其中9个在无任何安全审查的情况下直接接受了恶意服务器配置的概念验证提交,只有GitHub托管注册表成功拦截。
未来风险与建议
尽管部分平台已推出临时缓解措施,但根本问题仍存在于MCP的架构之中。这意味着,任何使用MCP协议的系统,若未自行增加额外的安全层,将始终面临远程代码执行风险。
OX Security建议开发者采取以下措施:
- 避免使用STDIO适配器,尤其是在不可信环境中。
- 对所有输入进行严格过滤和沙箱隔离,防止恶意命令执行。
- 关注第三方平台的补丁更新,确保所依赖的MCP实现版本安全。
- 推动协议层的安全改革,呼吁社区重新评估MCP的架构安全性。
目前,该漏洞尚未引发大规模的公开攻击事件,但由于其影响范围广、利用门槛低,已被视为AI生态系统中的一颗“定时炸弹”。安全专家提醒相关企业尽快审查自身AI基础设施的安全策略,并采取有效措施降低潜在威胁。