網路安全研究人員發現人工智慧公司Anthropic旗下模型上下文協定(Model Context Protocol, MCP)偵錯工具存在重大安全漏洞,攻擊者可透過此漏洞遠端執行惡意程式碼,完全控制開發者的主機系統。
該漏洞編號為CVE-2025-49596,CVSS評分高達9.4分(滿分10分),被列為極高風險等級。Oligo Security研究員Avi Lumelsky在近日發布的報告中指出,這是Anthropic MCP生態系統中首個重大遠端程式碼執行漏洞,暴露了針對AI開發工具的全新瀏覽器攻擊模式。
一旦攻擊者取得開發者機器的程式碼執行權限,便可竊取敏感資料、植入後門程式,甚至在網路中橫向移動,對AI開發團隊、開源專案和企業用戶構成嚴重威脅。
甚麼是MCP?
模型上下文協定(MCP)是Anthropic於2024年11月推出的開放協定,旨在標準化大型語言模型應用程式與外部資料來源和工具的整合方式。MCP Inspector則是一款開發者偵錯工具,用於測試和除錯MCP伺服器,讓AI系統能夠存取和互動訓練資料以外的資訊。
該工具包含兩個核心元件:
- 客戶端:提供測試和除錯的互動介面
- 代理伺服器:連接網頁UI與不同MCP伺服器的橋樑
攻擊原理與手法
漏洞的成因主要來自於開發者使用工具預設設定時的重大安全風險,包括缺乏身份驗證和加密保護。研究人員發現,攻擊者可以串聯兩個安全弱點發動攻擊:
- 0.0.0.0 Day漏洞:存在19年的現代瀏覽器漏洞,惡意網站可利用此弱點突破本地網路防護
- CSRF漏洞(CVE-2025-49596):MCP Inspector缺乏適當的跨站請求偽造防護
攻擊流程相當隱蔽且難以察覺。攻擊者首先建立看似正常的惡意網頁,透過社交工程手法誘使開發者造訪該網站。
當開發者瀏覽網頁時,頁面內嵌的惡意JavaScript程式碼會自動向0.0.0.0:6277發送請求,這正是MCP Inspector代理伺服器的預設埠號。由於缺乏適當的身份驗證機制,惡意請求會成功指示代理伺服器執行任意指令,最終讓攻擊者取得目標機器的完整遠端控制權。
MCP Inspector 0.14.1版本以下的所有版本都受到此漏洞影響。
攻擊者還可利用DNS重新綁定技術,建立指向
0.0.0.0:6277或
127.0.0.1:6277的偽造DNS記錄,進一步繞過安全控制措施。
修復措施與版本更新
Anthropic開發團隊於2025年6月13日發布MCP Inspector 0.14.1版本,完全修復了此安全漏洞。修復措施包括:
- 新增會話權杖:為代理伺服器加入身份驗證機制
- 來源驗證:驗證Host和Origin標頭,確保請求來自可信網域
- 防護強化:預設阻擋DNS重新綁定和CSRF攻擊
相關安全威脅
除了CVE-2025-49596外,研究人員還發現MCP生態系統存在其他安全隱患:
- SQL注入漏洞:趨勢科技發現Anthropic SQLite MCP伺服器存在未修補的SQL注入漏洞,可能被利用植入惡意提示、竊取資料或控制代理工作流程。
- NeighborJack攻擊:Backslash Security發現數百個MCP伺服器存在兩大配置錯誤:
- 因輸入處理不當和權限過高,允許在主機上執行任意指令
- 明確綁定到0.0.0.0,使同一本地網路上的任何人都能存取
安全建議與防護措施
面對MCP相關安全威脅,專家建議採取以下防護措施:
- 開發者層面:
- 立即更新至MCP Inspector 0.14.1或更新版本
- 避免將MCP伺服器暴露於不可信網路環境
- 實施適當的身份驗證和加密機制
- 定期檢查和更新MCP相關元件
- 企業組織層面:
- 建立AI規則配置以防範易受攻擊的伺服器
- 實施網路分段,隔離開發環境
- 加強對共享工作空間和公共網路的安全防護
- 定期進行安全稽核和漏洞掃描
- 系統防護:
- 謹慎處理從網站或資料庫擷取的文字,避免上下文污染
- 配置AI代理以對潛在威脅保持警覺
- 實施預定義的安全規則和指示
這次漏洞的發現突顯了AI開發工具安全的重要性。隨著AI技術快速發展,相關基礎設施的安全防護必須同步強化。MCP作為連接AI系統與外部資料的重要協定,其安全性直接影響整個AI生態系統的穩定性。
Lumelsky警告,由於預設配置會讓MCP伺服器暴露在這類攻擊風險中,許多開發者可能在不知情的狀況下,無意間為自己的電腦系統開啟了後門。
建議所有使用MCP Inspector的開發者立即檢查版本並進行必要的安全更新,確保開發環境的安全性。
本文轉載自thehackernews。