在一项通过开发者社区发出冲击波的重大开发中,Invariant Labs的安全研究人员发现了GitHub的模型上下文协议(MCP)实现中的一个关键漏洞。
在一项通过开发人员社区发出冲击波的重大开发中,Invariant Labs的安全研究人员发现了GitHub的模型上下文协议(MCP)实现中的一个关键漏洞。
这个安全漏洞于2025年5月26日披露,允许攻击者利用GitHub的MCP服务器访问私有存储库,从而可能暴露机密代码、凭据和敏感信息。
该漏洞使恶意行为者能够通过特制的GitHub问题劫持用户的代理,然后强制其从私人存储库中提取数据,否则这些数据将无法访问。这一启示正值像Anthropic的Claude这样的AI助手越来越多地与开发工具和平台集成。
该漏洞利用了 MCP 协议中的提示注入技术和权限管理弱点的组合。当用户通过MCP将Claude或类似的AI助手连接到GitHub时,他们授予AI代表他们与存储库进行交互的权限。然而,当前的实现未能正确隔离和保护这些交互。
根据Invariant Labs的发现,攻击者可以在GitHub Issues中嵌入恶意指令,当由AI助手处理时,可以重定向助手的操作。被劫持的助手不是执行预期任务,而是可以被操纵以从用户可以访问的私有存储库中访问、读取和潜在地窃取数据。
对AI工具生态系统的更广泛影响
这个漏洞凸显了人们对HiddenLayer在2025年4月的分析中称之为“代理世界中的模型上下文陷阱”的日益关注。随着用户越来越依赖AI助手来执行跨多个服务的复杂任务,安全性影响变得更加明显,也难以推理。
GitHub MCP漏洞演示了不同MCP服务器的权限组合如何创建意外的攻击向量。在类似于HiddenLayer记录的场景中,攻击者理论上可以嵌入间接提示注入,该注入利用GitHub访问以及其他工具来窃取敏感信息,而不会触发额外的权限请求。
“LLM可用的API组合与间接提示注入威胁的安全挑战很难推理,”HiddenLayer的报告指出,该报告在GitHub MCP漏洞被发现前几周就有先见之明地警告了这些类型的漏洞。
缓解策略与行业反应
Anthropic的支持文档强调,用户在使用远程MCP集成时应“仅连接到受信任的服务器”并“仔细查看请求的权限”。然而,GitHub漏洞表明,即使是受信任的平台也可能存在重大安全风险。
Invariant Labs建议实施专用安全扫描器,例如其MCP扫描和Guardrails工具,以防止此类漏洞。用于检测有毒物质流动的安全分析仪是最早发现这一特定漏洞的。
与此同时,安全界呼吁围绕MCP实施制定更强有力的标准。AlibaCloudSecurity打开的GitHub问题警告说,“MCP协议表现出不充分的安全设计,这增加了广泛的网络钓鱼攻击的风险” – 鉴于最近发生的事件,这一担忧已被证明是有效的。
随着组织继续采用人工智能助手并将其与开发工作流程集成,这一事件清楚地提醒人们安全影响。将人工智能系统连接到像GitHub这样的强大工具的能力极大地提高了工作效率,但也引入了传统权限模型可能无法充分解决的复杂安全考虑因素。
行业专家建议对MCP集成采取谨慎的方法,特别是那些提供敏感数据存储库访问的集成。目前,开发人员应该仔细审核他们的AI助手集成,并考虑限制对私有存储库的访问,直到GitHub和其他MCP提供商实施更强大的安全措施。
发表评论
您还未登录,请先登录。
登录