Anthropic拒绝修复MCP设计缺陷，20万台服务器面临安全风险

据安全研究人员披露，Anthropic官方模型上下文协议（MCP）中存在一项设计缺陷，导致多达20万台服务器面临被完全接管的风险。

Ox安全研究团队表示，他们曾多次要求Anthropic从根本上修复这一问题，但均遭拒绝。Anthropic方面坚称该协议运行正常，尽管已有10个与MCP相关的开源工具和AI智能体获得了高危或严重级别的CVE编号。Ox认为，一次根本性的架构修复，原本可以降低总下载量超过1.5亿次的软件包所带来的安全风险，并保护数百万下游用户。

Ox研究人员Moshe Siman Tov Bustan、Mustafa Naamnih、Nir Zadok和Roni Bar在研究博客中写道，Anthropic"以该行为属于'预期表现'为由，拒绝修改协议架构"。此次研究始于2025年11月，共经历了30余次负责任的漏洞披露流程。

在收到Ox团队的初始报告一周后，Anthropic悄然更新了安全政策——这似乎已成为该公司应对AI漏洞的惯常做法。更新后的指导文件指出，MCP适配器（尤其是STDIO类型）应谨慎使用。研究团队在随后发布的一份30页技术报告中写道："这一变更并未解决任何实质问题。"

Anthropic未回应媒体的采访请求。

漏洞根源在于MCP本身

研究人员指出，问题的根源在于MCP协议本身。MCP是一种最初由Anthropic开发的开源协议，供大语言模型、AI应用程序及AI智能体连接外部数据、系统以及彼此之间的互联互通。该协议支持跨编程语言使用，这意味着任何使用Anthropic官方MCP软件开发工具包的开发者——无论使用Python、TypeScript、Java还是Rust——都会继承这一安全漏洞。

MCP将STDIO（标准输入/输出）作为本地传输机制，用于AI应用程序生成MCP服务器子进程。然而研究人员发现，"在实际操作中，这实际上允许任何人运行任意操作系统命令：如果该命令成功创建了STDIO服务器，则返回句柄；若传入其他命令，则在命令执行后返回错误。"

利用这一逻辑漏洞，攻击者可发起四类不同的安全攻击。

四类攻击路径均可导致远程代码执行

第一类漏洞为未经身份验证及经过身份验证的命令注入。攻击者可直接输入用户可控命令，绕过身份验证和内容过滤，在服务器上直接执行，最终导致系统被完全控制。任何具有公开UI界面的AI框架均受此影响。受影响项目包括LangFlow全部版本（IBM旗下用于构建AI应用程序和AI智能体的开源低代码框架），以及开源AI智能体GPT Researcher（专为深度研究设计，目前已有CVE追踪编号CVE-2025-65720，但尚未发布补丁）。

第二类攻击向量为带有防护绕过的未授权命令注入，允许攻击者绕过开发者部署的防护措施和输入过滤机制，直接在服务器上执行命令。Upsonic（CVE-2026-30625）和Flowise（GHSA-c9gw-hvqq-f33r）虽已通过白名单方式限制可执行命令（如"python""npm""npx"）来加固防护，但研究人员仍成功实现了绕过："我们通过向允许命令的参数中间接注入恶意内容来绕过这一限制，例如使用'-npx -c <命令>'的方式。"

第三类漏洞涉及AI集成开发环境（IDE）和编程助手中的零点击提示注入攻击，受影响产品包括Windsurf、Claude Code、Cursor、Gemini-CLI和GitHub Copilot。目前，仅Windsurf（CVE-2026-30615）获得了针对此类漏洞的CVE编号，也是唯一真正意义上的零点击漏洞——用户的提示可直接影响MCP JSON配置文件，无需任何用户交互。包括Google、微软和Anthropic在内的其他IDE厂商均表示，此类问题属于已知情况，或因需要用户明确授权才能修改配置文件，故不构成有效的安全漏洞。

第四类漏洞则通过MCP市场平台传播。研究人员表示，他们在测试的11个MCP市场中，成功"污染"了其中9个——测试中使用的是生成空文件的概念验证型MCP，并非真实恶意软件。"接受我们提交内容的市场平台中，不乏每月访问量高达数十万的平台。任何一个目录中的单一恶意MCP条目，都可能在被检测到之前被数千名开发者安装——每次安装都意味着攻击者获得了对开发者机器的任意命令执行权限。"

Ox团队认为，Anthropic有能力也有责任"让MCP在默认情况下即是安全的"。

"仅需一次协议层面的架构调整，即可保护所有依赖MCP的下游项目、开发者和终端用户，"研究人员写道，"这才是掌握整个技术栈所应承担的责任。"

Q&A

Q1：MCP协议中存在的设计缺陷具体是什么？

A：MCP使用STDIO作为本地传输机制，理论上用于AI应用程序生成MCP服务器子进程，但实际上允许任何人运行任意操作系统命令。若命令成功创建STDIO服务器则返回句柄，若传入其他命令则在执行后返回错误。攻击者可利用这一逻辑发起命令注入、防护绕过、零点击提示注入以及通过MCP市场传播恶意内容等四类攻击，最终可能导致服务器被完全接管。

Q2：哪些开发工具和框架受到MCP漏洞的影响？

A：受影响的工具和框架范围较广，包括LangFlow（IBM开源低代码AI开发框架，全部版本受影响）、GPT Researcher（开源AI智能体，CVE-2025-65720）、Upsonic（CVE-2026-30625）、Flowise（GHSA-c9gw-hvqq-f33r），以及Windsurf、Claude Code、Cursor、Gemini-CLI、GitHub Copilot等AI编程助手。任何使用Anthropic官方MCP SDK的Python、TypeScript、Java或Rust项目均受此漏洞影响。

Q3：Anthropic为何拒绝从根本上修复MCP漏洞？

A：Anthropic以该行为属于"预期表现"为由，拒绝对协议架构进行修改。在收到Ox团队的初始报告后，Anthropic仅悄然更新了安全政策，建议谨慎使用STDIO类型的MCP适配器，但研究人员认为"这一变更并未解决任何实质问题"。Anthropic未就此事回应媒体的采访请求。