当前位置: 首页 > news >正文

Anthropic MCP 设计漏洞可导致 RCE,威胁 AI 供应链安全

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。

注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

OX Security公司发现 Flowise 及多个 AI 框架存在一个严重漏洞,导致数百万用户面临远程代码执行(RCE)风险。该漏洞源于由 Anthropic 开发、广泛用于 AI 代理的通信标准模型上下文协议MCP。与常见的软件缺陷不同,该漏洞源于 Anthropic 官方 MCP SDK(涉及 Python、TypeScript、Java 和 Rust 版本)中嵌入的一项架构设计决策。任何基于 MCP 进行开发的开发者都会在不知情的情况下继承这一风险暴露面,这意味着攻击面并不仅限于单一平台,而是会波及整个 AI 供应链。

MCP 核心架构漏洞

该漏洞使攻击者能够在受影响系统上执行任意命令,从而直接获取敏感的用户数据、内部数据库、API 密钥以及聊天记录。

研究人员在研究过程中成功在六个生产平台上实时执行了命令。Flowise(广泛使用的开源 AI 工作流构建工具)是受影响最严重的平台之一。研究人员发现了一种针对 Flowise 的“加固绕过”攻击向量,并证明即使配置了额外保护措施的环境,仍然可以通过 MCP 适配器接口被利用。

更广泛的危害范围令人震惊:超过 1.5 亿次下载、7000 多个公网可访问的服务器,以及整个生态系统中估计有 20 万个存在漏洞的实例。截至目前,已发布至少十个 CVE 编号,覆盖以下平台的关键漏洞:LiteLLM、LangChain、GPT Researcher、Windsurf、DocsGPT 以及 IBM 公司的 LangFlow。这些漏洞如下:

  • CVE-2025-65720 (GPT Researcher)

  • CVE-2026-30623 (LiteLLM) – 已修复

  • CVE-2026-30624 (Agent Zero)

  • CVE-2026-30618 (Fay 框架)

  • CVE-2026-33224 (Bisheng) – 已修复

  • CVE-2026-30617 (Langchain-Chatchat)

  • CVE-2026-33224 (Jaaz)

  • CVE-2026-30625 (Upsonic)

  • CVE-2026-30615 (Windsurf)

  • CVE-2026-26015 (DocsGPT) – 已修复

  • CVE-2026-40933 (Flowise)

如下是已确认四类不同的利用方式:

  • 未授权 UI 注入:影响多个流行 AI 框架。

  • 加固绕过:针对 Flowise 等“受保护”环境。

  • 零点击提示词注入:针对 Windsurf、Cursor 等 AI IDE。

  • 恶意 MCP 服务器投毒:测试中成功污染了9 个 MCP 注册中心(共11个)。

Anthropic 拒绝协议层面的修复

OX Security的研究人员多次向 Anthropic 建议进行根因层面的补丁修复,本可以保护数百万下游用户的安全。然而,Anthropic 公司拒绝了该建议,并将此行为定性为“符合预期”。当研究者告知其计划公开发布研究结果时,Anthropic 未表示异议。

安全团队应立即采取以下措施:

  • 阻止 AI 服务(尤其是连接了敏感 API 或数据库的服务)暴露在公网。

  • 将所有外部 MCP 配置输入视为不可信,并限制用户输入传递到 StdioServerParameters。

  • 仅从经过验证的来源(例如官方 GitHub MCP Registry)安装 MCP 服务器。

  • 在最小权限的沙箱环境中运行启用了 MCP 的服务。

  • 监控 AI 代理的工具调用行为,发现异常的出站活动。

  • 立即将所有受影响服务更新到最新的已修复版本。

开源卫士试用地址:https://sast.qianxin.com/#/login

代码卫士试用地址:https://codesafe.qianxin.com


推荐阅读

在线阅读版:《2025中国软件供应链安全分析报告》全文

Axios 严重漏洞可导致 RCE

Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播

热门包管理器中存在多个漏洞,JavaScript 生态系统易受供应链攻击

开源自托管平台 Coolify 修复11个严重漏洞,可导致服务器遭完全攻陷

得不到就毁掉:第二轮Sha1-Hulud供应链攻击已发起,影响2.5万+仓库

vLLM 高危漏洞可导致RCE

开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击

10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据

热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击

热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道

开发人员注意:VSCode 应用市场易被滥用于托管恶意扩展

GitHub Copilot 严重漏洞可导致私有仓库源代码被盗

受 Salesforce 供应链攻击影响,全球汽车巨头 Stellantis 数据遭泄露

捷豹路虎数据遭泄露生产仍未恢复,幕后黑手或与 Salesforce-Salesloft 供应链攻击有关

十几家安全大厂信息遭泄露,谁是 Salesforce-Salesloft 供应链攻击的下一个受害者?

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例,全球700+家企业受影响

黑客发动史上规模最大的 NPM 供应链攻击,影响全球10%的云环境

十几家安全大厂信息遭泄露,谁是 Salesforce-Salesloft 供应链攻击的下一个受害者?

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例,全球700+家企业受影响

AI供应链易遭“模型命名空间复用”攻击

Frostbyte10:威胁全球供应链的10个严重漏洞

PyPI拦截1800个过期域名邮件,防御供应链攻击

PyPI恶意包利用依赖引入恶意行为,发动软件供应链攻击

黑客利用虚假 PyPI 站点钓鱼攻击Python 开发人员

700多个恶意误植域名库盯上RubyGems 仓库

NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断

固件开发和更新缺陷导致漏洞多年难修,供应链安全深受其害

NPM仓库被植入67个恶意包传播恶意软件

在线阅读版:《2025中国软件供应链安全分析报告》全文

NPM软件供应链攻击传播恶意软件

隐秘的 npm 供应链攻击:误植域名导致RCE和数据破坏

NPM恶意包利用Unicode 隐写术躲避检测

Aikido在npm热门包 rand-user-agent 中发现恶意代码

密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥,触发供应链攻击

原文链接

https://www.darkreading.com/application-security/ai-assisted-supply-chain-attack-targets-github

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “在看” 或 "赞” 吧~

http://www.cnnetsun.cn/news/2037121.html

相关文章:

  • UVM验证中的‘幽灵任务’:如何优雅处理objection未结束导致的PH_TIMEOUT
  • 反向代理与内网穿透实战
  • 微服务架构设计核心原则解析
  • CentOS7.9磁盘管理全栈【20260420】001篇
  • 从数据手册到实际代码:一步步拆解SGP30的IIC通信协议与STM32驱动逻辑
  • Python动态特性与Monkey Patching实战解析
  • GME-Qwen2-VL-2B-Instruct惊艳效果:0.12低匹配文本自动过滤+0.48高匹配标红展示
  • 前端架构设计
  • 05(开源)加工工艺匹配:顶级车床切削参数·刀具适配·工况适配 保姆级开源参数【国产机床登顶系列第五篇】
  • 打卡信奥刷题(3149)用C++实现信奥题 P7677 [COCI 2013/2014 #5] LADICE
  • STC89C52单片机玩转NE555:手把手教你实现一个简易频率计(附完整工程)
  • Qwen3.5-9B-GGUF本地AI办公套件:邮件撰写、会议纪要、PPT大纲一体化
  • CardEditor:3MB轻量级桌游卡牌批量生成器,让设计效率提升300%
  • 如何用macOS自动点击器实现高效自动化操作:完整指南
  • 速看!黄金秘籍解决华为防火墙最困难的故障
  • 电商反爬这道墙,Web Unlocker 是怎么翻过去的?
  • 别再乱喂狗了!AutoSar WdgM三种监控机制(Alive/Deadline/Logical)实战配置避坑指南
  • 国家中小学智慧教育平台电子课本解析工具:3分钟极速获取教学资源的终极指南
  • 深度强化学习实战:从零构建游戏AI的Q学习指南
  • 新手必看:CTFHub靶场RCE通关保姆级教程(从环境搭建到Flag获取)
  • 从三相到两相:手把手推导感应电机的Clarke与Park变换(附MATLAB验证代码)
  • 计算机毕业设计:Python股票市场智能分析与LSTM预测系统 Flask框架 TensorFlow LSTM 数据分析 可视化 大数据 大模型(建议收藏)✅
  • 从一次订单失败回滚看Seata AT模式:一个真实微服务事务的完整生命周期
  • 实测10款降AI率工具后,2026年4月最香的是嘎嘎降AI!
  • 3小时掌握SketchUp STL插件:从建模到3D打印的完整实战指南
  • STM32F1系列LIN总线从机节点实战:车窗控制模块模拟与数据解析
  • RAG检索又失败了?Skill-RAG让RAG学会对症下药
  • Docker农业配置必须关闭的7个默认参数(附实测对比数据:CPU占用下降62%,启动延迟压缩至1.8s)
  • 别再为LaTeX三线表头疼了!手把手教你用booktabs和makecell搞定复杂表格(附完整代码)
  • Golang逆向工程实战:构建抖音直播数据实时采集系统