Anthropic 爆严重安全漏洞!程序员机器沦陷

大家好,这里是架构资源栈 !点击上方关注,添加"星标",一起学习大厂前沿架构!

关注、发送C1即可获取JetBrains全家桶激活工具和码!

2025 年 7 月,一则 AI 安全领域的重磅消息引发关注:Anthropic 的 MCP Inspector 开发工具被曝出严重远程代码执行漏洞(RCE),攻击者只需诱导开发者访问恶意网页,即可远程接管其本机权限,执行任意命令,影响极其严重。

漏洞编号为 CVE-2025-49596 ,CVSS 评分高达 9.4(10分制),属于最严重等级。

影响范围广泛 :任何在本地或局域网运行 MCP Inspector 的开发者都有被攻击的风险 🚨 攻击门槛极低 :无需身份认证,访问一个网页即可触发 🔐 已修复版本:0.14.1,建议立即升级


🧠 什么是 MCP 与 MCP Inspector?

  • MCP(Model Context Protocol):由 Anthropic 于 2024 年底发布的一套开放协议,旨在让 LLM 与外部数据源和工具高效交互。用于构建"有记忆"的 AI Agent。

  • MCP Inspector:一个开发者调试工具,分为前端 Web UI 和后端 Proxy Server,用于模拟和测试 MCP Server 的功能。

看似无害的工具,其实潜藏了巨大的风险。默认配置下,Proxy Server 可执行本地命令、缺少身份验证和加密措施,并监听在 0.0.0.0:6277 端口,极易被滥用。


💥 漏洞原理解析:本地服务 + 跨站请求伪造 = 任意代码执行

漏洞核心是 CSRF 结合 0.0.0.0 漏洞链

  1. MCP Inspector 的 Proxy 默认监听 0.0.0.0:6277,即绑定全部本地地址,包括 127.0.0.1
  2. 用户访问恶意网页,JavaScript 可通过 SSE(Server-Sent Events)接口向本地服务发起请求
  3. 因缺少认证,攻击者可远程调用 MCP 接口并执行命令,实现在本机执行任意代码

🧪 Oligo Security 公布了PoC 攻击演示,只需点击钓鱼链接,就可劫持本地 Agent

甚至攻击者还可以通过 DNS Rebinding 技术 将远程域名伪装为本地地址,从而绕过防护机制,对局域网或开发环境发起"零点击"攻击。


🧨 影响:你的本地 Agent 可能早已"被控制"

MCP Inspector 支持直接调用底层 spawnstdio 等命令执行器,一旦攻击者得手,可以:

  • 安装后门木马
  • 执行网络横向移动
  • 控制你运行的 Agent 与工具
  • 从数据库中窃取上下文数据
  • 劫持本地开发环境中的 API token 和缓存数据

尤其在 AI Agent 系统广泛信任上下文数据 的设计下,攻击者可借此嵌入恶意提示(prompt injection),进一步劫持 Agent 决策流程,造成不可逆的数据损害。


🧯 官方已修复,务必升级到 MCP Inspector ≥ v0.14.1

项目维护方在 2025 年 6 月 13 日发布修复版本:

  • 默认启用 身份验证 Token
  • 检查 HTTP 请求的 Origin / Host 头
  • 拒绝 DNS Rebinding 和跨站请求
  • 更新代理连接策略,强化本地服务暴露限制

👉 GitHub 安全公告 & 修复说明


🧱 安全建议:Agent 工具该如何自保?

✅ 1. 禁止 MCP Inspector 对公网暴露

  • 本地启动时仅绑定 127.0.0.1
  • 禁用自动监听所有接口 (0.0.0.0)

✅ 2. 启用身份验证机制

  • 使用 session token
  • 增加 Basic Auth 或 mTLS 限制访问来源

✅ 3. 结合 DNS Rebinding 防护

  • 检查 HostOrigin 字段
  • 限定 UI 仅接受来自本机的请求

✅ 4. 对 Agent 系统启用 Prompt 防注入规则

  • 实施"AI 行为规则"限制(AI Rule)
  • 禁止 Agent 无审查执行外部命令
  • 所有上下文数据需先清洗后输入模型

📌 不是生产系统也可能成为攻击跳板

虽然 MCP Inspector 是实验性质的调试工具,但其被 fork 次数已超过 5000+,许多团队已将其集成进实际 Agent 管理平台,未曾意识其潜在风险。

类似的漏洞层出不穷:

就像安全研究员 Micah Gold 所说:

"我们不能让昨天的 Web 安全教训,在今天的 AI Agent 基础设施中重演。"


🧭 结语:AI 工具开发者,必须重新审视"本地服务"的安全边界

从 GPT 到 Agent,从插件到工具调用,我们正身处于"模型联网编程"的新时代。然而,越开放、越便利的生态,也带来了巨大的攻击面

MCP Inspector 的爆雷正是一个警示------哪怕只是运行在本机的开发调试工具,也可能成为攻击者远程入侵的入口。

👉 AI 开发者请牢记三点:

  • 默认不安全,尤其本地监听服务需最小权限
  • Prompt 也会被利用,上下文注入是 AI 的新型"XSS"
  • 规则优先,为 Agent 加装"数字安全带"是最佳实践

小D只想说一句:本本分分的程序猿太难做了,竟然还有刁民想害朕!这些人都是程序员中的坏人!


📢 分享给你的团队与小伙伴,避免"开发工具"成为你的"安全后门"!

转自:mp.weixin.qq.com/s/BqtHGHscq...
本文由博客一文多发平台 OpenWrite 发布!

相关推荐
胚芽鞘68123 分钟前
关于java项目中maven的理解
java·数据库·maven
岁忧1 小时前
(LeetCode 面试经典 150 题 ) 11. 盛最多水的容器 (贪心+双指针)
java·c++·算法·leetcode·面试·go
CJi0NG1 小时前
【自用】JavaSE--算法、正则表达式、异常
java
Hellyc2 小时前
用户查询优惠券之缓存击穿
java·redis·缓存
今天又在摸鱼2 小时前
Maven
java·maven
老马啸西风2 小时前
maven 发布到中央仓库常用脚本-02
java·maven
代码的余温2 小时前
MyBatis集成Logback日志全攻略
java·tomcat·mybatis·logback
一只叫煤球的猫4 小时前
【🤣离谱整活】我写了一篇程序员掉进 Java 异世界的短篇小说
java·后端·程序员
斐波娜娜4 小时前
Maven详解
java·开发语言·maven
Bug退退退1234 小时前
RabbitMQ 高级特性之事务
java·分布式·spring·rabbitmq