HackerNews 编译,转载请注明出处:
网络安全研究人员发现,人工智能公司 Anthropic 的 Model Context Protocol (MCP) Inspector 项目存在一个关键安全漏洞(CVE-2025-49596),CVSS 评分高达 9.4(满分 10.0)。该漏洞可能导致远程代码执行(RCE),使攻击者完全控制开发者主机。
Oligo Security 的 Avi Lumelsky 在上周发布的报告中表示:“这是 Anthropic MCP 生态系统中首个严重的 RCE 漏洞,暴露了一类针对 AI 开发者工具的新型浏览器攻击。一旦攻击者在开发者机器上执行代码,便可窃取数据、安装后门并在网络中横向移动,这对 AI 团队、开源项目以及依赖 MCP 的企业用户构成了严重风险。”
MCP 是 Anthropic 于 2024 年 11 月推出的开源协议,旨在标准化大语言模型(LLM)应用与外部数据源及工具的集成和数据共享方式。MCP Inspector 是一款用于测试和调试 MCP 服务器的开发者工具,该服务器通过协议暴露特定功能,使 AI 系统能够访问和交互训练数据之外的信息。
该工具包含两个组件:一个提供交互式界面用于测试和调试的客户端,以及一个将 Web UI 连接到不同 MCP 服务器的代理服务器。需要特别注意的关键安全问题是,该服务器不应暴露在任何不受信任的网络中,因为它具有启动本地进程的权限,并能连接任何指定的 MCP 服务器。
Oligo 指出,结合开发者用于启动该工具本地版本的默认配置存在“显著”安全风险(如缺少身份验证和加密),这开辟了一条新的攻击路径。Lumelsky 解释道:“这种错误配置创造了巨大的攻击面,任何能够访问本地网络或公共互联网的人都有可能与这些服务器交互并利用它们。”
攻击过程通过将现代网络浏览器中一个名为“0.0.0.0 Day”的已知安全漏洞与 Inspector 中的跨站请求伪造(CSRF)漏洞(CVE-2025-49596)相结合,只需访问恶意网站即可在主机上运行任意代码。
MCP Inspector 的开发者在该漏洞的咨询公告中表示:“低于 0.14.1 版本的 MCP Inspector 由于 Inspector 客户端与代理之间缺乏身份验证而容易受到远程代码执行攻击,允许未经身份验证的请求通过标准输入/输出(stdio)启动 MCP 命令。”
“0.0.0.0 Day”是一个存在 19 年的现代浏览器漏洞,可能使恶意网站突破本地网络。该漏洞利用浏览器无法安全处理 IP 地址 0.0.0.0 的缺陷,导致代码执行。
Lumelsky 进一步解释:“攻击者可以通过精心制作恶意网站,向 MCP 服务器上运行的本地服务发送请求,从而在开发者机器上执行任意命令。默认配置使 MCP 服务器暴露于此类攻击,意味着许多开发者可能无意中为攻击者打开了机器的后门。”
具体而言,概念验证(PoC)利用服务器发送事件(SSE)端点,从攻击者控制的网站发送恶意请求,即使工具监听本地回环地址(127.0.0.1),也能在运行该工具的机器上实现 RCE。这是因为 IP 地址 0.0.0.0 会指示操作系统监听机器分配的所有 IP 地址,包括本地回环接口(即 localhost)。
在假设的攻击场景中,攻击者可以设置一个虚假网页并诱骗开发者访问。此时,页面中嵌入的恶意 JavaScript 会向 0.0.0.0:6277(代理默认运行的端口)发送请求,指示 MCP Inspector 代理服务器执行任意命令。
攻击者还可以利用 DNS 重绑定技术创建伪造的 DNS 记录,指向 0.0.0.0:6277 或 127.0.0.1:6277,以绕过安全控制并获得 RCE 权限。
在 2025 年 4 月负责任地披露漏洞后,项目维护者于 6 月 13 日通过发布 0.14.1 版本修复了该问题。修复措施包括为代理服务器添加会话令牌,并实施来源验证以彻底封堵攻击向量。
Oligo 表示:“本地服务可能看似安全,但由于浏览器和 MCP 客户端的网络路由能力,它们往往暴露于公共互联网。修复措施增加了此前默认配置中缺失的授权机制,并验证 HTTP 请求中的 Host 和 Origin 头,确保客户端确实来自已知且受信任的域名。现在,默认情况下服务器会阻止 DNS 重绑定和 CSRF 攻击。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
