Anthropic 爆严重安全漏洞！程序员机器沦陷

大家好，这里是架构资源栈 ！点击上方关注，添加"星标"，一起学习大厂前沿架构！

关注、发送C1即可获取JetBrains全家桶激活工具和码！

2025 年 7 月，一则 AI 安全领域的重磅消息引发关注：Anthropic 的 MCP Inspector 开发工具被曝出严重远程代码执行漏洞（RCE），攻击者只需诱导开发者访问恶意网页，即可远程接管其本机权限，执行任意命令，影响极其严重。

漏洞编号为 CVE-2025-49596 ，CVSS 评分高达 9.4（10分制），属于最严重等级。

✅ 影响范围广泛 ：任何在本地或局域网运行 MCP Inspector 的开发者都有被攻击的风险 🚨 攻击门槛极低 ：无需身份认证，访问一个网页即可触发 🔐 已修复版本：0.14.1，建议立即升级

---

🧠 什么是 MCP 与 MCP Inspector？

• MCP（Model Context Protocol）：由 Anthropic 于 2024 年底发布的一套开放协议，旨在让 LLM 与外部数据源和工具高效交互。用于构建"有记忆"的 AI Agent。

• MCP Inspector：一个开发者调试工具，分为前端 Web UI 和后端 Proxy Server，用于模拟和测试 MCP Server 的功能。

看似无害的工具，其实潜藏了巨大的风险。默认配置下，Proxy Server 可执行本地命令、缺少身份验证和加密措施，并监听在 0.0.0.0:6277 端口，极易被滥用。

---

💥 漏洞原理解析：本地服务 + 跨站请求伪造 = 任意代码执行

漏洞核心是 CSRF 结合 0.0.0.0 漏洞链：

1. MCP Inspector 的 Proxy 默认监听 0.0.0.0:6277，即绑定全部本地地址，包括 127.0.0.1
2. 用户访问恶意网页，JavaScript 可通过 SSE（Server-Sent Events）接口向本地服务发起请求
3. 因缺少认证，攻击者可远程调用 MCP 接口并执行命令，实现在本机执行任意代码

🧪 Oligo Security 公布了PoC 攻击演示，只需点击钓鱼链接，就可劫持本地 Agent

甚至攻击者还可以通过 DNS Rebinding 技术 将远程域名伪装为本地地址，从而绕过防护机制，对局域网或开发环境发起"零点击"攻击。

---

🧨 影响：你的本地 Agent 可能早已"被控制"

MCP Inspector 支持直接调用底层 spawn、stdio 等命令执行器，一旦攻击者得手，可以：

• 安装后门木马
• 执行网络横向移动
• 控制你运行的 Agent 与工具
• 从数据库中窃取上下文数据
• 劫持本地开发环境中的 API token 和缓存数据

尤其在 AI Agent 系统广泛信任上下文数据 的设计下，攻击者可借此嵌入恶意提示（prompt injection），进一步劫持 Agent 决策流程，造成不可逆的数据损害。

---

🧯 官方已修复，务必升级到 MCP Inspector ≥ v0.14.1

项目维护方在 2025 年 6 月 13 日发布修复版本：

• 默认启用 身份验证 Token
• 检查 HTTP 请求的 Origin / Host 头
• 拒绝 DNS Rebinding 和跨站请求
• 更新代理连接策略，强化本地服务暴露限制

👉 GitHub 安全公告 & 修复说明

---

🧱 安全建议：Agent 工具该如何自保？

✅ 1. 禁止 MCP Inspector 对公网暴露

• 本地启动时仅绑定 127.0.0.1
• 禁用自动监听所有接口 (0.0.0.0)

✅ 2. 启用身份验证机制

• 使用 session token
• 增加 Basic Auth 或 mTLS 限制访问来源

✅ 3. 结合 DNS Rebinding 防护

• 检查 Host 和 Origin 字段
• 限定 UI 仅接受来自本机的请求

✅ 4. 对 Agent 系统启用 Prompt 防注入规则

• 实施"AI 行为规则"限制（AI Rule）
• 禁止 Agent 无审查执行外部命令
• 所有上下文数据需先清洗后输入模型

---

📌 不是生产系统也可能成为攻击跳板

虽然 MCP Inspector 是实验性质的调试工具，但其被 fork 次数已超过 5000+，许多团队已将其集成进实际 Agent 管理平台，未曾意识其潜在风险。

类似的漏洞层出不穷：

• Trend Micro 日前披露 MCP SQLite Server 存在 SQL 注入漏洞
• Backslash Security 报告称大量 MCP Server 存在过度权限与暴露配置（被称为 "NeighborJack"）

就像安全研究员 Micah Gold 所说：

"我们不能让昨天的 Web 安全教训，在今天的 AI Agent 基础设施中重演。"

---

🧭 结语：AI 工具开发者，必须重新审视"本地服务"的安全边界

从 GPT 到 Agent，从插件到工具调用，我们正身处于"模型联网编程"的新时代。然而，越开放、越便利的生态，也带来了巨大的攻击面。

MCP Inspector 的爆雷正是一个警示------哪怕只是运行在本机的开发调试工具，也可能成为攻击者远程入侵的入口。

👉 AI 开发者请牢记三点：

• 默认不安全，尤其本地监听服务需最小权限
• Prompt 也会被利用，上下文注入是 AI 的新型"XSS"
• 规则优先，为 Agent 加装"数字安全带"是最佳实践

小D只想说一句：本本分分的程序猿太难做了，竟然还有刁民想害朕！这些人都是程序员中的坏人！

---

📢 分享给你的团队与小伙伴，避免"开发工具"成为你的"安全后门"！

转自：mp.weixin.qq.com/s/BqtHGHscq...
本文由博客一文多发平台 OpenWrite 发布！