網路安全研究人員發現模型上下文協定 ( MCP ) 架構中存在一個關鍵的“設計缺陷”，該缺陷可能為遠端程式碼執行鋪平道路，並對人工智慧 (AI) 供應鏈產生連鎖反應。

「這個漏洞使得任何運行易受攻擊的 MCP 實現的系統都能執行任意命令 (RCE)，從而使攻擊者能夠直接存取敏感用戶資料、內部資料庫、API 金鑰和聊天記錄，」OX Security 的研究人員 Moshe Siman Tov Bustan、Mustafa Naamnih、Nir Zadok 和 Roni Bar在上週發表的分析報告中表示。

這家網路安全公司表示，Anthropic 官方 MCP 軟體開發工具包 (SDK) 中存在系統性漏洞，該漏洞影響所有支援的語言，包括 Python、TypeScript、Java 和 Rust。總計有超過 7000 個可公開存取的伺服器和軟體包受到影響，下載量超過 1.5 億次。

問題在於 MC 配置透過STDIO（標準輸入/輸出）傳輸介面工作時存在不安全的預設設置，導致發現了 10 個漏洞，涉及 LiteLLM、LangChain、LangFlow、Flowise、LettaAI 和 LangBot 等熱門項目 -

✔  CVE-2025-65720（GPT Researcher）

✔  CVE-2026-30623 (LiteLLM) - 已修復

✔  CVE-2026-30624（零號代理）

✔  CVE-2026-30618（Fay 框架）

✔  CVE-2026-33224（畢生）- 已修復

✔  CVE-2026-30617（Langchain-Chatchat）

✔  CVE-2026-33224 (Jaaz)

✔  CVE-2026-30625（Upsonic）

✔  CVE-2026-30615（帆板運動）

✔  CVE-2026-26015 (DocsGPT) - 已修復

✔  CVE-2026-40933（Flowise）

這些漏洞大致可分為四類，實際上會觸發伺服器上的遠端命令執行—

✔  透過 MCP STDIO 進行未經身份驗證和已身份驗證的命令注入

✔  透過直接 STDIO 配置進行未經身份驗證的命令注入，並繞過加固措施

✔  透過零點擊提示注入，經由 MCP 設定編輯進行未經身份驗證的命令注入。

✔  透過網路請求經由 MCP 市場進行未經身份驗證的命令注入，觸發隱藏的 STDIO 配置

研究人員解釋說：Anthropic 的模型上下文協議通過其 STDIO 接口，在其所有實現中提供直接的配置到命令執行，而無需考慮編程語言。這段程式碼原本是用來啟動本地 STDIO 伺服器，並將 STDIO 句柄返回給 LLM 的。但實際上，它允許任何人運行任意作業系統命令。如果命令成功創建了 STDIO 伺服器，它會返回句柄；但如果輸入不同的命令，則會在命令執行後返回錯誤。

有趣的是，基於相同核心問題的漏洞在過去一年中被獨立報告。它們包括CVE-2025-49596（MCP Inspector）、LibreChat（CVE-2026-22252）、WeKnora（CVE-2026-22688）、@akoskm/create-mcp-server-stdio（CVE-2025-54964）。

然而，Anthropic公司拒絕修改協議架構，並稱這種行為是「預期之內的」。雖然一些供應商已經發布了補丁，但Anthropic公司的MCP參考實作中仍存在此缺陷，導致開發人員必須承擔程式碼執行風險。

研究結果凸顯了人工智慧驅動的整合如何可能在無意中擴大攻擊面。為應對此威脅，建議阻止對敏感服務的公共 IP 存取，監控 MCP 工具的呼叫情況，在沙箱環境中運行啟用 MCP 的服務，將外部 MCP 配置輸入視為不可信，並且僅從經過驗證的來源安裝 MCP 伺服器。OX Security 表示：「之所以這次事件演變成供應鏈事件而非單一的 CVE 漏洞，是因為一個架構決策一旦做出，便會悄無聲息地傳播到每一種語言、每一個下游庫以及每一個信任該協議的項目。將責任推卸給實現者並不能轉移風險，只會掩蓋風險的真正來源。」

資料來源：https://thehackernews.com/2026/04/anthropic-mcp-design-vulnerability.html