登录体验完整功能(收藏、点赞、评论等) — 已累计有 12579 人加入

Anthropic主导MCP协议曝架构级漏洞 波及超20万台服务器

详情页推荐

2026年4月,以色列网络安全公司OX Security发布研究报告,披露由AI公司Anthropic主导开发维护的模型上下文协议(MCP)存在架构级安全漏洞。该漏洞目前已波及超3.2万个代码仓库,超20万台服务器存在数据暴露风险,攻击者可借此窃取用户隐私、API密钥等敏感信息,Anthropic仅发布警示文档草草回应,引发行业广泛讨论。

4月15日,OX Security在其官方博客发布了长达17页的专项研究报告,将这一潜藏在AI开发生态底层的安全隐患公之于众。该公司安全团队是在对Claude 3生态的第三方应用做常态化安全审计时,偶然发现MCP协议在权限校验环节存在先天性设计缺陷,攻击者无需构造复杂的攻击路径,就能获取服务器的最高读写权限。

模型上下文协议(MCP)是Anthropic在2025年推出的开源交互协议,初衷是降低大模型应用调用外部工具、扩展上下文窗口的开发门槛。开发者仅需接入MCP的标准组件,就能让大模型无缝对接本地知识库、第三方数据库、工具API,不需要额外做复杂的接口适配。

推出不到一年时间,MCP就被全球超过60%的Claude生态开发者采用,不少中小型科技公司甚至直接将开源的MCP组件部署到了核心业务服务器上,没有做额外的安全加固,这也为本次漏洞的大规模扩散埋下了伏笔。

免责声明:本网站AI资讯内容仅供学习参考,不构成任何建议,不对信息准确性与完整性负责。