近日,网络安全研究人员发现了人工智能公司Anthropic推出的模型环境协议(MCP)存在严重安全漏洞。这一漏洞可能被恶意利用,使攻击者远程执行代码,全面掌控开发者的主机。
该漏洞编号为CVE-2025-49596,严重等级评分高达9.4分(满分10分),为目前该生态系统中的首例高危远程执行漏洞,引发业内广泛关注。
据悉,这一漏洞的发现由安全公司Oligo Security的研究员阿维·卢梅尔斯基披露。他指出:“这是Anthropic MCP生态系统中首个严重的远程代码执行漏洞,暴露出针对AI开发工具的全新浏览器攻击类别。”攻击者只需利用该漏洞,便能在开发者的机器上运行任意代码,从而窃取数据、安装后门,甚至在网络中横向扩散。
MCP(模型环境协议)由Anthropic于2024年11月推出,是一种开放标准协议,旨在统一大型语言模型(LLM)应用与外部数据源和工具的集成方式。作为开发者调试工具,MCP Inspector允许检测和调试MCP服务器,通过协议访问各种功能,帮助AI系统访问超出训练数据范围的信息。
MCP Inspector由客户端和代理服务器两部分组成。客户端提供交互界面,便于开发者调试,而代理服务器则连接不同的MCP服务器。值得注意的是,MCP服务器重大安全风险在于其应避免暴露给不可信的网络,因为它具有启动本地进程的权限,还能连接到任何配置的MCP服务器。
不当的默认设置会增加安全隐患。研究人员指出,许多开发者在搭建本地版MCP Inspector时未进行充分配置,导致缺乏认证和加密措施,从而形成攻击入口。攻击者只需利用这些配置缺陷,便可以从局域网或公网对MCP服务器发起攻击。
具体而言,攻击手法结合了两个技术漏洞:一是影响现代网页浏览器的“0.0.0.0”漏洞(类似19年前的漏洞),使恶意网站可以利用浏览器处理0.0.0.0 IP地址的不安全方式,突破安全限制,执行本地命令;二是Inspector存在的跨站请求伪造(CSRF)漏洞。开发者可以通过制作恶意网页,诱导浏览器向localhost或0.0.0.0上的MCP服务器发起请求,从而在未认证的情况下,实现代码控制。
漏洞利用的关键在于,侦测版本低于0.14.1的MCP Inspector软件,由于缺乏对客户端和代理之间的认证,允许攻击者通过标准输入输出(stdio)发起指令,迫使目标计算机执行任意命令。攻击者还可以通过DNS绑定伪造技术,伪造DNS解析,使请求绕过安全限制。
该漏洞由开发者在2025年4月首次披露,随后项目团队于6月13日发布了修复版本0.14.1。新版本加入了会话令牌验证和出处验证机制,有效阻断了攻击路径。目前,修复后的系统对来自未知域或潜在恶意网站的请求进行了严格限制,提升了整体安全性。
值得一提的是,此次漏洞揭示的风险并非孤立问题。就在几天前,另一家安全机构Backslash Security披露,许多公开的MCP服务器因配置不当,存在“邻居攻击”等漏洞。这些漏洞让未经授权的用户能够在局域网内随意执行命令,模拟成为“邻居”,借机非法操作。
专家指出,MCP的开放性设计,虽方便数据交互,但也成为攻击的潜在入口。黑客可以利用提示注入和上下文污染技术,对模型进行误导或渗透,甚至在处理结果时施加隐秘指令。一些安全专家建议:应严格限制MCP服务器的网络曝光,配置访问权限,避免让其暴露在公网或未受信任环境中。
此外,业内还建议建立更完善的安全策略,如在MCP客户端设置智能规则,避免模型受到上下文污染,减少安全风险。只有在充分做好访问控制和安全验证措施后,才能确保AI应用的安全稳定运行。
总之,这次漏洞事件再次提醒行业:在追求技术创新的同时,安全防护同样不能忽视。未来,企业和开发者应加强对协议和工具的安全评估,避免“昨日漏洞”变成今天的“黑客利器”,以保护AI生态的健康发展。