IT之家 4 月 18 日消息,安全研究团队 OX Security 本周(4 月 15 日)发现,Anthropic 创建、维护的行业标准 AI 通信协议 MCP(IT之家注:Model Context Protocol)存在设计缺陷, 可导致服务器被诱导执行任意代码(RCE) 。 据介绍,该漏洞并非普通的疏忽,而是架构层面的设计缺陷并存在于官方 MCP SDK 中。影响 Python、TypeScript、Java 和 Rust 等所有支持语言,等于说任何基于 MCP 构建的项目都存在这一风险。 研究人员主要识别出未认证 UI 注入攻击、安全加固绕过、提示词注入、恶意插件分发等四种主流攻击路径,并在多个真实生产环境中成功利用漏洞。 目前,该机构已在 LiteLLM、LangChain、IBM LangFlow 等主流项目中发现关键漏洞, 目前已分配 10 个 CVE 编号且仍在不断增加 ,均属“严重”级别。 研究团队透露,他们曾多次联系 Anthropic 并希望修复漏洞。 但对方拒绝修改架构 ,并称该行为属于“预期设计”。 团队随后告知公司,将公开研究成果。对方未提出异议。 团队建议,所有用户都不应该将大语言模型、AI 工具等暴露在公网环境,并且将 MCP 输入直接视为不可信数据,防止提示词注入。同时启用沙箱环境运行服务并时刻更新最新软件,将权限锁住。
IT之家 4 月 16 日消息,网络安全公司 OX Security 昨日(4 月 15 日)发布报告, 披露 Anthropic 的 MCP(模型上下文协议)存在设计缺陷,可导致远程代码执行。 该设计缺陷影响范围极广,导致超过 20 万台 AI 服务器面临远程代码执行风险。 IT之家注:MCP 全称为 Model Context Protocol,是 Anthropic 公司于 2024 年 11 月推出的 开源开放标准,让 AI 大模型无缝连接并操作各种外部数据和工具。 本次披露的缺陷潜伏在 modelcontextprotocol SDK 的 STDIO 接口中,该接口本用于启动本地服务器进程,并将控制权移交 AI 模型,但底层执行逻辑会运行任何传入的 OS 命令,即使伪造服务器启动失败返回错误,命令仍会执行,全程无校验、无警告。 OX Security 认为这不是代码笔误,而是架构层面的设计决策。漏洞波及 Anthropic 官方支持的全部 11 种语言:Python、TypeScript、Java、Kotlin、C#、Go、Ruby、Swift、PHP、Rust。 任何基于 MCP 构建的开发者都会自动继承这一风险,OX Security 历时数月调查,识别出四种攻击家族,并在真实环境中完成验证。 报告指出 LangFlow 平台有 915 个公开实例,攻击者无需账户即可获取会话令牌并推送恶意配置实现完整接管。 Letta AI 平台遭中间人攻击,研究者拦截 " 测试连接 " 请求并替换载荷,直接在生产服务器执行任意命令。 Flowise 虽尝试通过命令白名单和特殊字符过滤进行防护,但研究者借助 npx 的 -c 参数一步绕过,这证明当底层架构允许任意子进程执行时,临时输入过滤毫无意义。 第四类攻击直指开发者终端。Windsurf IDE 漏洞最为严重:用户访问恶意网站后,无需任何点击即可在本地执行任意命令,该漏洞追踪编号为 CVE-2026-30615。 Cursor、Claude Code、Gemini-CLI、GitHub Copilot 等 IDE 同样存在提示注入风险,但因需要至少一次用户交互,被 Anthropic 和微软归类为“设计预期”。 Anthropic 于 2026 年 1 月 7 日收到通报后回应称属于预期行为,9 天后仅更新 SECURITY.md 文档提示谨慎使用 STDIO 适配器,未做任何架构改动。 研究者向 11 个主流 MCP 市场上传恶意服务器概念验证,9 个直接接受且无安全审查,仅 GitHub 托管注册表拦截了提交。 LiteLLM、DocsGPT、Flowise、Bisheng 已发布补丁,LangFlow、Agent Zero 等仍待修复,协议层根本漏洞持续开放。 参考 Anthropic's MCP Design Flaw Enables Remote Code Execution Across 200,000+ AI Servers Anthropic’s "By Design" Failure at the Heart of the AI Ecosystem
36氪获悉,荣旗科技在互动平台表示,公司参与了苹果折叠屏手机中VC散热的外观缺陷检测。