Anthropic 爆严重安全漏洞!程序员机器沦陷

大家好,这里是架构资源栈 !点击上方关注,添加"星标",一起学习大厂前沿架构!

关注、发送C1即可获取JetBrains全家桶激活工具和码!

2025 年 7 月,一则 AI 安全领域的重磅消息引发关注:Anthropic 的 MCP Inspector 开发工具被曝出严重远程代码执行漏洞(RCE),攻击者只需诱导开发者访问恶意网页,即可远程接管其本机权限,执行任意命令,影响极其严重。

漏洞编号为 CVE-2025-49596 ,CVSS 评分高达 9.4(10分制),属于最严重等级。

影响范围广泛 :任何在本地或局域网运行 MCP Inspector 的开发者都有被攻击的风险 🚨 攻击门槛极低 :无需身份认证,访问一个网页即可触发 🔐 已修复版本:0.14.1,建议立即升级


🧠 什么是 MCP 与 MCP Inspector?

  • MCP(Model Context Protocol):由 Anthropic 于 2024 年底发布的一套开放协议,旨在让 LLM 与外部数据源和工具高效交互。用于构建"有记忆"的 AI Agent。

  • MCP Inspector:一个开发者调试工具,分为前端 Web UI 和后端 Proxy Server,用于模拟和测试 MCP Server 的功能。

看似无害的工具,其实潜藏了巨大的风险。默认配置下,Proxy Server 可执行本地命令、缺少身份验证和加密措施,并监听在 0.0.0.0:6277 端口,极易被滥用。


💥 漏洞原理解析:本地服务 + 跨站请求伪造 = 任意代码执行

漏洞核心是 CSRF 结合 0.0.0.0 漏洞链

  1. MCP Inspector 的 Proxy 默认监听 0.0.0.0:6277,即绑定全部本地地址,包括 127.0.0.1
  2. 用户访问恶意网页,JavaScript 可通过 SSE(Server-Sent Events)接口向本地服务发起请求
  3. 因缺少认证,攻击者可远程调用 MCP 接口并执行命令,实现在本机执行任意代码

🧪 Oligo Security 公布了PoC 攻击演示,只需点击钓鱼链接,就可劫持本地 Agent

甚至攻击者还可以通过 DNS Rebinding 技术 将远程域名伪装为本地地址,从而绕过防护机制,对局域网或开发环境发起"零点击"攻击。


🧨 影响:你的本地 Agent 可能早已"被控制"

MCP Inspector 支持直接调用底层 spawnstdio 等命令执行器,一旦攻击者得手,可以:

  • 安装后门木马
  • 执行网络横向移动
  • 控制你运行的 Agent 与工具
  • 从数据库中窃取上下文数据
  • 劫持本地开发环境中的 API token 和缓存数据

尤其在 AI Agent 系统广泛信任上下文数据 的设计下,攻击者可借此嵌入恶意提示(prompt injection),进一步劫持 Agent 决策流程,造成不可逆的数据损害。


🧯 官方已修复,务必升级到 MCP Inspector ≥ v0.14.1

项目维护方在 2025 年 6 月 13 日发布修复版本:

  • 默认启用 身份验证 Token
  • 检查 HTTP 请求的 Origin / Host 头
  • 拒绝 DNS Rebinding 和跨站请求
  • 更新代理连接策略,强化本地服务暴露限制

👉 GitHub 安全公告 & 修复说明


🧱 安全建议:Agent 工具该如何自保?

✅ 1. 禁止 MCP Inspector 对公网暴露

  • 本地启动时仅绑定 127.0.0.1
  • 禁用自动监听所有接口 (0.0.0.0)

✅ 2. 启用身份验证机制

  • 使用 session token
  • 增加 Basic Auth 或 mTLS 限制访问来源

✅ 3. 结合 DNS Rebinding 防护

  • 检查 HostOrigin 字段
  • 限定 UI 仅接受来自本机的请求

✅ 4. 对 Agent 系统启用 Prompt 防注入规则

  • 实施"AI 行为规则"限制(AI Rule)
  • 禁止 Agent 无审查执行外部命令
  • 所有上下文数据需先清洗后输入模型

📌 不是生产系统也可能成为攻击跳板

虽然 MCP Inspector 是实验性质的调试工具,但其被 fork 次数已超过 5000+,许多团队已将其集成进实际 Agent 管理平台,未曾意识其潜在风险。

类似的漏洞层出不穷:

就像安全研究员 Micah Gold 所说:

"我们不能让昨天的 Web 安全教训,在今天的 AI Agent 基础设施中重演。"


🧭 结语:AI 工具开发者,必须重新审视"本地服务"的安全边界

从 GPT 到 Agent,从插件到工具调用,我们正身处于"模型联网编程"的新时代。然而,越开放、越便利的生态,也带来了巨大的攻击面

MCP Inspector 的爆雷正是一个警示------哪怕只是运行在本机的开发调试工具,也可能成为攻击者远程入侵的入口。

👉 AI 开发者请牢记三点:

  • 默认不安全,尤其本地监听服务需最小权限
  • Prompt 也会被利用,上下文注入是 AI 的新型"XSS"
  • 规则优先,为 Agent 加装"数字安全带"是最佳实践

小D只想说一句:本本分分的程序猿太难做了,竟然还有刁民想害朕!这些人都是程序员中的坏人!


📢 分享给你的团队与小伙伴,避免"开发工具"成为你的"安全后门"!

转自:mp.weixin.qq.com/s/BqtHGHscq...
本文由博客一文多发平台 OpenWrite 发布!

相关推荐
计算机学姐2 小时前
基于SpringBoot的社团管理系统【2026最新】
java·vue.js·spring boot·后端·mysql·spring·mybatis
天上掉下来个程小白2 小时前
微服务-25.网关登录校验-网关传递用户到微服务
java·数据库·微服务
vivi_and_qiao3 小时前
HTML的form表单
java·前端·html
Slaughter信仰3 小时前
深入理解Java虚拟机:JVM高级特性与最佳实践(第3版)第四章知识点问答补充及重新排版
java·开发语言·jvm
心灵宝贝3 小时前
Mac用户安装JDK 22完整流程(Intel版dmg文件安装指南附安装包下载)
java·开发语言·macos
ta是个码农3 小时前
Mysql——日志
java·数据库·mysql·日志
今***b4 小时前
Python 操作 PPT 文件:从新手到高手的实战指南
java·python·powerpoint
David爱编程4 小时前
volatile 关键字详解:轻量级同步工具的边界与误区
java·后端
fatfishccc6 小时前
Spring MVC 全解析:从核心原理到 SSM 整合实战 (附完整源码)
java·spring·ajax·mvc·ssm·过滤器·拦截器interceptor
没有bug.的程序员6 小时前
MyBatis 初识:框架定位与核心原理——SQL 自由掌控的艺术
java·数据库·sql·mybatis