上周有个重要的安全披露,和程序员的日常工具直接相关,整理出来给大家参考。
核心结论先说:
以色列网络安全公司 OX Security 发现了 MCP 协议的架构级设计缺陷,影响超过20万台服务器、3.2万个代码仓库,波及 Cursor、Claude Code、Windsurf、GitHub Copilot 等主流 AI 编程工具,以及 Python/TypeScript/Go 等11种语言 SDK。
漏洞在哪里
MCP(Model Context Protocol)是 Anthropic 主导开发的 AI 工具调用标准协议,Cursor 用它连接数据库、文件系统、浏览器,Claude Code 用它调用本地工具。
问题出在 STDIO 接口——MCP 通过这个接口启动本地进程并把控制权交给 AI 模型时,底层会直接运行任何传入的系统命令,不做校验,不弹警告,不要求确认。
更关键的细节:即使进程启动返回失败,命令可能已经执行完了。
这不是单个平台的代码问题,而是11种语言 SDK 共用的架构设计,所有基于 Anthropic MCP 构建的产品都自动继承了这个风险。
受影响范围
| 工具/平台 | 风险等级 | CVE编号 | 触发条件 |
|---|---|---|---|
| Windsurf IDE | 🔴 最严重 | CVE-2026-30615 | 访问恶意网站,零点击执行任意命令 |
| Cursor | 🟡 中等 | — | 需要至少一次用户交互 |
| Claude Code | 🟡 中等 | — | 需要至少一次用户交互 |
| Gemini-CLI | 🟡 中等 | — | 需要至少一次用户交互 |
| GitHub Copilot | 🟡 中等 | — | 需要至少一次用户交互 |
| LangFlow | 🔴 高 | — | 无需账户即可获取会话令牌 |
| Letta AI | 🔴 高 | — | 中间人攻击,可直接接管生产服务器 |
Windsurf 这个最严重:AI 智能体可以直接写入 MCP 配置文件,而且不向用户展示变更记录,用户完全无感知。
五条攻击路径(已验证)
提示词注入:让 AI 读取带攻击指令的内容,AI 自动修改本地 MCP 配置。
恶意 MCP 包:从集市安装了伪装正常的工具,后台执行恶意命令。
会话令牌劫持:针对 LangFlow 等无需认证的公开实例。
中间人攻击:拦截传输请求,替换为 STDIO 模式附带恶意命令。
Windsurf 零交互:访问恶意网页,直接触发本地命令执行。
顺带提一下:研究团队向11个主流 MCP 市场上传了概念验证的恶意包,9个直接接受上架,连基本安全审查都没有。只有 GitHub 托管注册表因为安全机制阻挡了提交。
Anthropic 的回应
时间线:
- 2026年1月7日:OX Security 向 Anthropic 报告漏洞
- 9天后:Anthropic 在 SECURITY.md 加了一行说明——”STDIO 适配器应谨慎使用”
- 此后:架构未动,代码未改,官方定性为”预期设计范畴“
其他厂商态度类似:微软说”不符合漏洞标准”,谷歌说”已知问题,暂无修复计划”,Cursor 说”需要用户主动交互属于正常设计”。
研究团队做了30多次负责任披露,历时5个月。各方态度基本一致:安全责任归下游开发者。
推荐的防御措施
OX Security 提出了协议层面的四条修复建议(需要 Anthropic 来做):
- 协议层改为”仅清单”模式,只执行预定义服务器别名
- SDK 层封锁 sh、bash、powershell 等高风险命令
- 引入强制标志位,要求开发者显式声明是否启用本地执行能力
- MCP 集市建立安全审查标准,上架包必须绑定开发者身份
你现在能做的:
只从可信渠道安装 MCP 服务器(GitHub 目前是有安全审查的少数渠道之一);不用的 MCP 工具及时禁用;生产环境尽量降低对外暴露的 MCP 服务数量;对 AI 工具读取本地配置文件的操作保持警惕。
最后说一句
MCP 的问题不只是一个公司的技术决策失误,它揭示了 AI 工具链快速扩张时普遍存在的问题:功能优先,安全滞后。 当越来越多的工具给 AI 模型开放本地执行权限,这类攻击面只会越来越大。
了解风险不是为了不用工具,是为了用得更有把握。
首发于公众号**「赛博山海经」**,每周实测AI工具,不玩虚的。免费AI工具导航👉 92yangyi.top/ai-tools ✨
