GitHub官方MCP服务器被曝存在漏洞，攻击者可通过提示注入，诱导AI智能体泄露用户私有仓库敏感数据。瑞士网络安全公司Invariant Labs发现，在公共仓库中隐藏恶意指令，可使Claude 4等AI模型访问并暴露MCP用户的私有仓库信息，包括项目、计划和薪资等。该漏洞源于AI工作流设计缺陷，而非传统平台漏洞，涉及私有数据访问、恶意指令暴露和信息渗出三重威胁。为应对，Invariant Labs提出了动态权限控制和持续安全监测的防御方案。

🔑 攻击利用了GitHub MCP服务器的漏洞，该服务器赋予大语言模型访问用户仓库的权限，包括私有仓库。

⚠️ 攻击者在公共仓库中创建恶意议题，通过提示注入诱导AI智能体，从而获取用户私有仓库信息。

💡 攻击流程包括：用户向AI发送常规请求，AI获取公共仓库议题时触发恶意指令，AI将私有仓库数据拉取至上下文环境，并在公共仓库创建含私有数据的PR。

🎯 攻击结果显示，成功渗出用户私有仓库信息，包括项目、计划和薪资等敏感数据。

🛡️ 针对该漏洞，提出了动态权限控制和持续安全监测的防御方案，以限制AI智能体访问权限并拦截异常数据流动。

IT之家 6 月 1 日消息，GitHub 官方 MCP 服务器可赋予大语言模型多项新能力，包括读取用户有权访问的仓库议题、提交新拉取请求（PR）。这构成了提示注入攻击的三重威胁：私有数据访问权限、恶意指令暴露及信息渗出能力。

瑞士网络安全公司 Invariant Labs 周四发文称，他们发现 GitHub 官方 MCP 服务器存在漏洞，攻击者可在公共仓库中隐藏恶意指令，诱导 Claude 4 等 AI 智能体泄露 MCP 用户的私有仓库敏感数据。同时，类似漏洞也出现在 GitLab Duo 中。

攻击核心在于获取“用户正在处理的其他仓库”信息。由于 MCP 服务器拥有用户私有仓库访问权限，LLM 处理该议题后将创建新 PR—— 而这就会暴露私有仓库名称。

在 Invariant 测试案例中，用户仅需向 Claude 发出以下请求即可触发信息泄露：

值得一提的是，若将多个 MCP 服务器组合（一个访问私有数据、一个暴露恶意 Token、第三个泄露数据），将构成更大风险。而 GitHub MCP 现已将这三要素集成于单一系统。

攻击机制详解

前置条件：

用户使用 Claude 等 MCP 客户端，并绑定 GitHub 账户

用户同时拥有公共仓库（如 <用户>/public-repo）与私有仓库（如 < 用户 >/private-repo）

攻击流程：

攻击者在公共仓库创建含提示注入的恶意议题

用户向 Claude 发送常规请求（如“查看 pacman 开源仓库的议题”）

AI 获取公共仓库议题时触发恶意指令

AI 将私有仓库数据拉取至上下文环境

AI 在公共仓库创建含私有数据的 PR（IT之家注：攻击者可公开访问该数据）

实测结果：

成功渗出用户 ukend0464 的私有仓库信息

泄露内容包括私人项目“Jupiter Star”、移居南美计划、薪资等敏感数据

该漏洞源于 AI 工作流设计缺陷，而非传统 GitHub 平台漏洞。作为应对，该公司提出两套防御方案：动态权限控制，限制 AI 智能体访问权限；持续安全监测，通过实时行为分析和上下文感知策略拦截异常数据流动。