内容
OX Security研究人员披露Anthropic MCP SDK中存在系统性命令注入漏洞,该设计缺陷已扩散至整个AI生态。攻击者可通过STDIO传输类型在多种场景下执行远程命令:直接配置注入、绕过允许列表限制、提示词注入篡改配置,以及隐藏后端逻辑的网络请求触发。已确认影响LangFlow、GPT Researcher、LiteLLM、Windsurf、DocsGPT等十余款主流工具,多数获Critical评级,部分厂商以"设计如此"为由拒绝修复。
-
漏洞根源: MCP协议StdioServerParameters实现缺乏输入校验与命令白名单,用户可控的JSON配置直接作为子进程执行,导致命令注入成为协议级系统性风险。
-
直接配置注入: LangFlow、Fay数字人、Langchain-Chatchat等存在未认证RCE;LiteLLM、Bisheng、LangBot等需认证但开放注册后同样可 exploited。攻击者通过UI添加恶意MCP服务器即可执行任意系统命令。
-
加固绕过: Upsonic与Flowise虽实施允许列表限制(仅允许python/npm/npx),但攻击者通过
npx -c <command>等参数注入绕过,实现间接命令执行。 -
提示词注入: Windsurf(CVE-2026-30615)处理攻击者控制的HTML内容时,恶意指令可自动修改本地MCP配置并注册恶意STDIO服务器,无需用户交互即触发RCE;Cursor、Claude Code等需一次用户确认,故未获CVE。
-
隐藏后端触发: DocsGPT、LettaAI的Web-GUI仅显示SSE/HTTP选项,但后端仍处理STDIO类型。攻击者通过MITM拦截并修改网络请求中的
transport_type为stdio、注入command字段,触发未暴露功能的RCE。 -
拒绝修复的厂商: Anthropic、LangChain、FastMCP、NVIDIA等以"设计如此""运输层免责""沙箱隔离"为由拒绝修复,但沙箱无法防御挖矿、代理滥用等场景。