Anthropic MCP与Git服务器三漏洞解析：文件访问与代码执行风险

为了应对这些安全问题，该Python软件包现已移除可能引发路径遍历的工具git_init，并添加了额外的验证机制。建议所有用户尽快将软件包更新到最新版本，以获得全面的安全防护。

Anthropic维护的Git模型上下文协议（MCP）服务器mcp-server-git被披露存在三个安全漏洞，攻击者在特定条件下可利用这些漏洞读取或删除任意文件，甚至执行恶意代码。

Cyata研究员Yarden Porat在提供给网络安全媒体的报告中指出：“这些漏洞可以通过提示注入（prompt injection）被利用。这意味着，攻击者能够影响AI助手读取恶意内容（例如被篡改的README文件、植入恶意描述的问题说明或被入侵的网页），从而在不直接接触受害者系统的情况下，将这些漏洞武器化。”

mcp-server-git是一个Python软件包，也是一个MCP服务器。它提供了一组内置工具，允许大型语言模型（LLM）以编程方式读取、搜索和操作Git仓库。

这些安全问题已于2025年6月被报告给维护者，并在随后的2025年9月25日和2025年12月18日发布的版本中得到修复。具体漏洞包括：

CVE-2025-68143（CVSS评分：8.8[v3]/6.5[v4]）- git_init工具在创建仓库时未验证文件系统路径，导致路径遍历漏洞（已于2025年9月25日版本修复）。CVE-2025-68144（CVSS评分：8.1[v3]/6.4[v4]）- git_diff和git_checkout函数将用户控制的参数直接传递给git CLI命令，导致参数注入漏洞（已于2025年12月18日版本修复）。CVE-2025-68145（CVSS评分：7.1[v3]/6.3[v4]）- 使用--repository标志将操作限制到特定仓库路径时，缺乏路径验证导致的路径遍历漏洞（已于2025年12月18日版本修复）。

成功利用上述漏洞可使攻击者将系统上的任何目录转换为Git仓库、利用空差异覆盖任意文件，以及访问服务器上的任何仓库。

根据Cyata记录的攻击场景，这三个漏洞可与文件系统MCP服务器串联使用。具体方式是向通常位于隐藏.git目录中的“.git/config”文件写入恶意配置，并借助提示注入触发git_init调用，最终实现远程代码执行。攻击步骤如下：

使用git_init在可写目录创建仓库。通过文件系统MCP服务器写入一个包含clean过滤器的恶意.git/config文件。编写.gitattributes文件，将过滤器应用于特定文件。创建包含恶意载荷的shell脚本。触发过滤器的文件。调用git_add执行clean过滤器，从而运行恶意载荷。

作为应对措施，该软件包已移除git_init工具并增加额外验证以防止路径遍历。再次建议Python软件包用户更新至最新版本，以获得最佳防护。

Agentic AI安全公司Cyata的首席执行官兼联合创始人Shahar Tal表示：“这是一个标准的Git MCP服务器，是开发者期望会复用的参考实现。如果参考实现中的安全边界都遭到破坏，就表明整个MCP生态系统需要更深入的审查。这些不是边缘案例或特殊配置缺陷，而是开箱即用的真实漏洞。”