登录体验完整功能(收藏、点赞、评论等) — 已累计有 12577 人加入

Anthropic开源MCP协议曝设计缺陷 超20万台AI服务器面临攻击风险

详情页推荐

2026年4月,网络安全公司OX Security发布专项安全报告,披露AI企业Anthropic推出的开源标准MCP(模型上下文协议)存在架构层面设计缺陷,其SDK的STDIO接口未对传入命令做安全校验,可被攻击者利用实现远程代码执行,目前全球已有超过20万台基于MCP开发的AI服务器暴露在网络攻击风险下,该漏洞引发AI开发与安全领域的高度关注。

MCP(模型上下文协议)是Anthropic在2024年11月推出的开源统一标准,核心目标是解决大模型与外部数据、工具的连接适配问题,让不同大模型可以用统一规范调用外部服务,推出后迅速获得全球开发者的认可。

问题出在MCP官方SDK的STDIO接口上:这个接口的原始设计用途是启动本地服务器进程,但底层逻辑没有加入任何命令校验机制。只要攻击者传入恶意系统命令,即便服务器进程启动失败,命令依旧会在目标服务器上执行,全程没有任何拦截或警告。OX Security明确指出,这不是代码编写过程中的低级bug,而是架构设计层面的决策缺陷,漏洞覆盖Anthropic官方支持的全部11种编程语言,几乎影响所有默认配置的MCP应用。

免责声明:本网站AI资讯内容仅供学习参考,不构成任何建议,不对信息准确性与完整性负责。