Anthropic官方GitMCP服务器曝链式漏洞,可致文件访问与代码执行

admin
admin
admin
0
文章
0
评论
2026-01-21 23:59:43 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Anthropic官方GitMCP服务器存在严重链式漏洞,攻击者可利用未净化的参数及路径验证缺陷实现任意文件访问与远程代码执行。该参考实现漏洞影响广泛,混合部署风险倍增。建议立即更新修复版本,视MCP参数为不可信输入并严格限制Agent权限范围以防御此类攻击。 综合评分: 93 文章分类: 漏洞分析,AI安全,漏洞预警,代码审计

cover_image

Anthropic官方Git MCP服务器曝链式漏洞,可致文件访问与代码执行

FreeBuf

2026年1月21日 18:31 上海

Anthropic PBC的官方Git Model Context Protocol(模型上下文协议)服务器存在多个安全漏洞,可能引发任意文件访问,某些情况下甚至能通过提示词注入(prompt injection)实现完整的远程代码执行。人工智能安全初创公司Cyata Security Ltd今日发布的最新研究报告披露了这一情况。这些漏洞影响mcp-server-git——Anthropic为Git开发的MCP参考实现,该组件旨在向开发者示范如何安全地将Git仓库暴露给基于大语言模型的AI Agent。

Part01

漏洞影响范围与攻击向量

根据Cyata报告,2025年12月18日前发布的所有默认部署版本均受影响。攻击者只需能操控AI助手读取的内容(例如恶意README文件、被污染的议题描述或遭篡改的网页)即可利用这些漏洞。研究人员在服务器中发现三个独立漏洞:

  • 无限制的git_init功能:允许在任意文件系统路径初始化仓库
  • 路径验证绕过漏洞:可访问配置允许列表之外的仓库
  • git_diff工具的参数注入缺陷:将未净化的输入传递给Git命令行接口

当这些漏洞被串联利用时,攻击者能够读取或删除任意文件,甚至覆盖主机系统上的文件。

Part02

参考实现中的安全隐患

这些漏洞的特殊性在于,问题代码出现在Anthropic自家的参考实现中。”这是标准的Git MCP服务器,开发者理应效仿的样板,”Cyata联合创始人兼首席执行官Shahar Tal表示,”如果安全边界在参考实现中就已瓦解,说明整个MCP生态系统需要更严格的审查。这些并非边缘案例或特殊配置,而是开箱即用的漏洞。”

Part03

漏洞评级差异与风险场景

不同评分系统对漏洞严重性的评估存在差异:GitHub安全公告根据通用漏洞评分系统4.0(CVSS 4.0)评定为中等严重程度,而GitLab咨询数据库则依据CVSS 3.1将其列为高危。Cyata解释称,这种差异源于GitHub采用的CVSS 4.0采用了更精细的评分方法。漏洞风险程度还取决于Git MCP服务器的使用场景,当与Filesystem MCP服务器共同使用时,风险会显著增加。

Part04

远程代码执行实现机制

在此类混合部署场景中,攻击者可滥用Git的smudge和clean过滤器,通过仓库配置文件中定义的shell命令实现远程代码执行。由于MCP服务器执行大语言模型(LLM)的决策,而LLM又可能通过提示词注入被操控,这意味着整个攻击链无需凭证、shell访问或与目标系统的直接交互即可触发。”这项研究表明,当LLM被置于决策循环中时,关于信任边界的传统假设就会崩塌,”Cyata联合创始人兼首席技术官Baruch Weizman指出,”单独看起来安全的工具,在攻击者控制模型输入时会变得危险。”

Part05

修复时间线与安全建议

Cyata已于去年6月向Anthropic报告这些漏洞,相关修复于12月17日发布,其中包括从Git MCP服务器中彻底移除git_init工具。安全团队建议尚未更新mcp-server-git的组织立即采取行动:将所有MCP工具参数视为不可信输入,限制AI Agent可调用的MCP服务器和工具范围,并从整体而非单个工具角度评估Agent权限。

参考来源:

Anthropic’s official Git MCP server hit by chained flaws that enable file access and code execution

https://siliconangle.com/2026/01/20/anthropics-official-git-mcp-server-hit-chained-flaws-enable-file-access-code-execution/

#

#

#

推荐阅读

电台讨论

#

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:FreeBuf 《Anthropic官方Git MCP服务器曝链式漏洞,可致文件访问与代码执行》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0