nginx-ui 漏洞敲出 MCP 系統性盲點：AI 整合繼承權限、卻不繼承防護

2026 / 04 / 21

編輯部

nginx-ui 漏洞敲出 MCP 系統性盲點：AI 整合繼承權限、卻不繼承防護

當企業競相將 AI Agent 整合進既有系統，一波以模型情境協議（Model Context Protocol，MCP）為目標的攻擊浪潮正悄然成形。nginx-ui 近日爆出嚴重認證繞過漏洞 CVE-2026-33032，攻擊者無需任何憑證即可完全接管 nginx 伺服器，目前已積極利用。這起事件並非偶發個案，而是 MCP 快速擴張下，供應鏈安全危機的最新縮影：在短短 60 天內，研究人員已針對各類 MCP 伺服器提交逾 30 份 CVE，MCP 整合正在成為企業基礎架構中防護最薄弱的新型攻擊面。

缺少函式呼叫，奪取整台伺服器

2026 年 3 月，AI 工作流程資安公司 Pluto Security 向 nginx-ui 維護團隊通報一個嚴重漏洞，編號 CVE-2026-33032，CVSS評分 9.8 。nginx-ui 是廣受 DevOps 社群採用的開源 nginx 網頁伺服器圖形化管理介面，在 GitHub 上累積超過 11,000 顆星，Docker 映像檔拉取次數逾 43 萬次。

nginx-ui 近期為支援 MCP 而新增兩個 HTTP 端點：/mcp 負責建立連線，設有 IP 白名單與身份驗證中介軟體；/mcp_message 負責處理所有工具呼叫指令，包含寫入設定檔、重新啟動伺服器等高權限操作，卻在上線時完全略去了身份驗證檢查。

這項疏漏使得 12 項 MCP 工具在無需任何憑證的情況下對外開放，其中 7 項具有破壞性，攻擊者可注入惡意 nginx 設定、觸發自動重新載入，進而攔截所有流經伺服器的流量。威脅情報公司 Recorded Future 旗下的 Insikt Group 將 CVE-2026-33032 列為 2026 年 3 月遭積極利用的 31 個高影響力漏洞之一，並給予 94 分（滿分 100 分）的風險評分。VulnCheck 亦已將此漏洞收錄至已知遭利用漏洞（KEV）清單。

Pluto Security 安全研究總監 Yotam Perkal 指出，nginx 通常作為反向代理部署於正式服務前端，一旦設定遭竄改，等同於後端所有應用程式與應用程式介面（API）全數淪陷。在最壞情境下，攻擊者可將所有流量導向攻擊者控制的端點，即時擷取每一筆請求、回應與憑證。

MCP 架構本身的系統性缺陷

CVE-2026-33032 並非孤例。就在同一時期，資安公司 OX Security 發布研究報告，指出 MCP 在架構層面存在更根本的設計問題。

OX Security 的研究聚焦於 MCP 的標準輸入輸出（STDIO）介面。這項機制的設計原意是在本地啟動伺服器程序，但其執行指令的行為不受程序是否成功啟動的影響。換言之，只要傳入惡意指令，即便回傳錯誤，該指令仍會在背景靜默執行，整個過程不會觸發任何警告或開發工具的紅旗提示。

OX Security 透過協調揭露流程，促成超過 30 項漏洞被接受、逾 10 個高危及嚴重漏洞獲得修補。然而，MCP 的底層架構缺陷至今仍未獲修復。OX Security 表示，曾就此問題多次聯繫 Anthropic 及其他 MCP 提供商，但普遍反應是「此為設計如此」，並未採取實質修補行動。Anthropic 最終僅悄然更新安全指引，建議開發人員「謹慎使用」MCP 轉接器，將責任轉移至下游開發者。

OX Security 警告，這項架構缺陷可能成為「史上最大供應鏈攻擊」的溫床，影響範圍從 Anthropic 擴散至數千個本地 MCP 使用者，再從遭入侵的系統蔓延至更多後端伺服器。

AI 整合加速，安全審查跟不上

Perkal 在報告中點出一個值得企業深思的核心問題：「當你為既有應用程式加入 MCP 支援，等於是透過全新的 HTTP 端點，將應用程式最強大的操作功能對外暴露。原有應用程式或許已歷經多年安全淬煉，具備完善的 JSON 網頁權杖（JSON Web Token）、工作階段管理與角色型存取控制機制，但 MCP 端點是全新的，開發者很容易漏掉其中一個。」

他進一步指出，MCP 採用的 HTTP 串流機制將通訊拆分至兩個端點，「開發者直覺上會保護『連線』端點，但往往忽略實際執行破壞性操作的『訊息』端點。」

目前，nginx-ui 維護團隊已在漏洞揭露後一天內釋出 v2.3.4 修補版本，最新安全版本為 v2.3.6。Pluto Security 透過 Shodan 掃描發現，目前仍有逾 2,600 台 nginx-ui 實例公開暴露於網路，主要分布於中國、美國、印尼、德國及香港。