当前位置: 首页
科技数码
Anthropic MCP与Git服务器三漏洞解析:文件访问与代码执行风险

Anthropic MCP与Git服务器三漏洞解析:文件访问与代码执行风险

热心网友 时间:2026-01-21
转载

作为响应措施,该软件包已移除git_init工具并增加额外验证以防止路径遍历原语。建议Python软件包用户更新至最新版本以获得最佳防护。 Anthropic最新维护的Git Model Conte

为了应对这些安全问题,该Python软件包现已移除可能引发路径遍历的工具git_init,并添加了额外的验证机制。建议所有用户尽快将软件包更新到最新版本,以获得全面的安全防护。

Anthropic维护的Git模型上下文协议(MCP)服务器mcp-server-git被披露存在三个安全漏洞,攻击者在特定条件下可利用这些漏洞读取或删除任意文件,甚至执行恶意代码。

\

Cyata研究员Yarden Porat在提供给网络安全媒体的报告中指出:“这些漏洞可以通过提示注入(prompt injection)被利用。这意味着,攻击者能够影响AI助手读取恶意内容(例如被篡改的README文件、植入恶意描述的问题说明或被入侵的网页),从而在不直接接触受害者系统的情况下,将这些漏洞武器化。”

mcp-server-git是一个Python软件包,也是一个MCP服务器。它提供了一组内置工具,允许大型语言模型(LLM)以编程方式读取、搜索和操作Git仓库。

这些安全问题已于2025年6月被报告给维护者,并在随后的2025年9月25日和2025年12月18日发布的版本中得到修复。具体漏洞包括:

CVE-2025-68143(CVSS评分:8.8[v3]/6.5[v4])- git_init工具在创建仓库时未验证文件系统路径,导致路径遍历漏洞(已于2025年9月25日版本修复)。CVE-2025-68144(CVSS评分:8.1[v3]/6.4[v4])- git_diff和git_checkout函数将用户控制的参数直接传递给git CLI命令,导致参数注入漏洞(已于2025年12月18日版本修复)。CVE-2025-68145(CVSS评分:7.1[v3]/6.3[v4])- 使用--repository标志将操作限制到特定仓库路径时,缺乏路径验证导致的路径遍历漏洞(已于2025年12月18日版本修复)。

成功利用上述漏洞可使攻击者将系统上的任何目录转换为Git仓库、利用空差异覆盖任意文件,以及访问服务器上的任何仓库。

根据Cyata记录的攻击场景,这三个漏洞可与文件系统MCP服务器串联使用。具体方式是向通常位于隐藏.git目录中的“.git/config”文件写入恶意配置,并借助提示注入触发git_init调用,最终实现远程代码执行。攻击步骤如下:

使用git_init在可写目录创建仓库。通过文件系统MCP服务器写入一个包含clean过滤器的恶意.git/config文件。编写.gitattributes文件,将过滤器应用于特定文件。创建包含恶意载荷的shell脚本。触发过滤器的文件。调用git_add执行clean过滤器,从而运行恶意载荷。

作为应对措施,该软件包已移除git_init工具并增加额外验证以防止路径遍历。再次建议Python软件包用户更新至最新版本,以获得最佳防护。

Agentic AI安全公司Cyata的首席执行官兼联合创始人Shahar Tal表示:“这是一个标准的Git MCP服务器,是开发者期望会复用的参考实现。如果参考实现中的安全边界都遭到破坏,就表明整个MCP生态系统需要更深入的审查。这些不是边缘案例或特殊配置缺陷,而是开箱即用的真实漏洞。”

来源:https://www.51cto.com/article/834656.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
大疆首款纯电eVTOL亮相,可飞抵珠峰8861米

大疆首款纯电eVTOL亮相,可飞抵珠峰8861米

大疆创新发布首款垂直起降运载无人机DJIEV50,纯电动力,最大载重50公斤,航程150公里。在珠峰科考中飞抵海拔8861米,完成32架次起降,助力首次极高海拔大气污染物精细观测。

时间:2026-07-15 21:32
机械革命2026款蛟龙16 Pro锐龙9 9955HX

机械革命2026款蛟龙16 Pro锐龙9 9955HX

机械革命蛟龙16Pro新增锐龙99955HX处理器、RTX5060显卡,配16GBDDR5内存与1TB固态。屏幕2 5K300Hz100%DCI-P3色域,双风扇散热支持200W释放,80Wh电池+250W碳化硅适配器,接口齐全。

时间:2026-07-15 21:32
李想:理想i9九月发布 拥有MEGA级大空间舒适性

李想:理想i9九月发布 拥有MEGA级大空间舒适性

理想汽车CEO李想官宣,旗舰SUV理想i9将于9月发布。车长5225mm,轴距3168mm,拥有MEGA级别大空间和舒适性,采用全新“Home”理念,尾部带Home徽标,定位大型家庭SUV。

时间:2026-07-15 21:32
AI芯片商Cerebras计划年内启用欧洲首批数据中心

AI芯片商Cerebras计划年内启用欧洲首批数据中心

人工智能芯片企业Cerebras计划2026年底前启用欧洲首批数据中心,随后推进法国和北欧部署,2027年底欧洲总算力达200兆瓦,部分用于支持OpenAI工作负载。此举旨在就近提供低延迟、高性能AI推理算力,满足欧洲本地化需求。

时间:2026-07-15 21:32
小鹏Robotaxi员工内测启动 何小鹏成为首单用户

小鹏Robotaxi员工内测启动 何小鹏成为首单用户

小鹏Robotaxi于7月9日开启员工内测,何小鹏成为首单用户。该车基于小鹏GX,搭载4颗图灵AI芯片,算力达3000TOPS,采用纯视觉方案实现L4级自动驾驶,从官宣到全链路跑通仅用8个月。行业相关标准以安全性能为准,不限定技术路线。

时间:2026-07-15 21:31
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 热门数据榜