AI圈又出大事了。
但这次不是新模型发布,而是一颗定时炸弹被公之于众。
发生了什么
4月15日,网络安全公司 OX Security 发布了一份报告,标题很直接:"AI供应链之母"(The Mother of All AI Supply Chains)。
他们发现了 MCP 协议的一个架构级漏洞。
MCP,Model Context Protocol,Anthropic 2024年11月推出的开源标准。简单说,它是 AI 连接外部世界的"万能插头"——让你的 AI 工具能调用数据库、文件、API。
但这个"万能插头"有个致命缺陷:STDIO 接口可以直接执行任意系统命令,全程无校验、无警告。
影响多大
| 数字 | 说明 |
|---|---|
| 20万+ | 受影响的 AI 服务器 |
| 1.5亿 | MCP SDK 下载量 |
| 11种 | 受影响编程语言(Python/TypeScript/Java/Go/Rust...) |
任何基于 MCP 开发的工具,都会自动继承这个漏洞。不管你是用 Python 写还是用 Node.js,都跑不掉。
四种攻击方式
1. LangFlow(915个公开实例)
这是个 IBM 旗下的自动化框架。研究者发现,攻击者甚至不需要账号,拿到会话令牌就能推送恶意配置,直接接管服务器。
2. Letta AI
中间人攻击。研究者拦截"测试连接"请求,换成 STDIO 配置,就在生产服务器上执行了任意命令。
3. Flowise
这个平台试过防御——做了命令白名单、过滤特殊字符。结果研究者用 npx -c 参数一步就绕过了。
研究者说得挺无奈:"当底层架构允许任意子进程执行时,临时输入过滤毫无意义。"
4. 开发者终端(Windsurf 最严重)
访问个恶意网站,不用点任何东西,就能在你本地执行任意命令。
这就是前几天的 CVE-2026-30615。
Cursor、Claude Code、Copilot 也有类似风险,但需要至少点一下,所以被归类为"设计预期"。
Anthropic 怎么回的
2026年1月7日,OX 把漏洞细节发给了 Anthropic。
回复就四个字:"预期行为"(expected behaviour)
9天后,Anthropic 在 SECURITY.md 里加了句"谨慎使用 STDIO 适配器"。
没了。
没有修复、没有架构改动。
研究者还做了个实验:向 11 个主流 MCP 市场上传恶意服务器概念验证。
9个直接接受,没有任何安全审查。
只有 GitHub 的托管注册表拦了下来。
哪些平台已修复
| 平台 | 状态 |
|---|---|
| LiteLLM | ✅ 已发布补丁 |
| DocsGPT | ✅ 已发布补丁 |
| Flowise | ✅ 已发布补丁 |
| Bisheng | ✅ 已发布补丁 |
| LangFlow | ❌ 仍未修复 |
| Agent Zero | ❌ 仍未修复 |
| Fay Framework | ❌ 仍未修复 |
根本漏洞依然开放。
怎么办
- 别把 MCP 服务暴露到公网
- STDIO 配置进来的用户输入,当不可信处理
- 给 MCP 进程加上权限受限的沙箱
- 关注你用的平台有没有安全更新
这件事最让人细思极恐的,不是漏洞本身,而是 Anthropic 的态度。
"预期行为"——四个字,把整个 AI 生态的安全责任推得干干净净。
以后你用 Cursor 写代码、用 Claude Code 调 API,你猜它们底层在干什么?
你觉得这算"设计预期"还是"设计失误"?评论区聊聊。
