一份安全報告,讓AI開發者圈子裏繃緊了一根弦。

網絡安全公司OX Security於4月15日發佈調查報告,披露Anthropic的MCP(模型上下文協議)存在架構層面的設計缺陷,可導致遠程代碼執行,影響超過20萬臺AI服務器。

MCP是Anthropic於2024年11月推出的開源標準,旨在讓AI大模型無縫連接並操作各種外部數據和工具,目前已被大量開發者用於構建AI應用。

image.png

問題的根源藏在MCP SDK的STDIO接口中。這個接口本來的設計用途是啓動本地服務器進程,但底層執行邏輯存在嚴重隱患——它會運行任何傳入的操作系統命令,即便服務器啓動返回失敗錯誤,命令依然會被執行,全程沒有校驗,沒有警告。OX Security明確指出,這不是代碼層面的低級失誤,而是架構設計上的決策問題。

漏洞波及範圍極廣,覆蓋Anthropic官方支持的全部11種編程語言,包括Python、TypeScript、Java、Go、Rust等主流語言。任何基於MCP構建的開發者,都會自動繼承這一風險。

OX Security歷時數月,在真實環境中驗證了四類攻擊方式。LangFlow平臺有915個公開實例,攻擊者無需賬戶即可獲取會話令牌並實現完整接管;Letta AI遭中間人攻擊,研究者直接在生產服務器執行任意命令;Flowise的白名單過濾防護被輕鬆繞過;最嚴重的是Windsurf IDE漏洞,用戶僅需訪問一個惡意網站,無需任何點擊,攻擊者即可在本地執行任意命令,該漏洞已獲得CVE編號。

Anthropic於今年1月7日收到漏洞通報後迴應稱屬於"預期行爲",9天后僅更新了一份安全文檔,提示開發者謹慎使用STDIO適配器,未作任何架構層面的改動。

研究者還向11個主流MCP市場上傳了惡意服務器用於測試,結果9個直接通過,無任何安全審查,僅GitHub的託管註冊表攔截了提交。

目前LiteLLM、DocsGPT、Flowise等平臺已發佈補丁,但LangFlow、Agent Zero等仍待修復,協議層的根本問題依然敞開着。對於正在使用或計劃使用MCP構建應用的開發者來說,這份報告值得認真對待。