關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2026.01.21
漏洞與風險/資安漏洞
Anthropic MCP Git 伺服器的三個缺陷導致檔案存取和程式碼執行失敗
模型上下文協定 (MCP) 安全性之研究摘要

隨著生成式 AI 深入軟體開發生命週期,AI 助手與本地工具鏈之間的溝通協定安全性成為防禦重心。Anthropic 維護的官方 Git 模型上下文協定 ( MCP ) 伺服器 mcp-server-git 中揭露了一組三個安全漏洞,這些漏洞可能被利用來讀取或刪除任意文件,並在某些情況下執行程式碼。 這些漏洞的特殊之處在於其攻擊媒介。Cyata 研究員 Yarden Porat 在一份與 The Hacker News 分享的報告中表示:這些漏洞可以通過即時注入來利用,這意味著攻擊者如果能夠影響 AI 助手讀取的內容(惡意 README、被污染的問題描述、被入侵的網頁),就可以在不直接訪問受害者係統的情況下利用這些漏洞。


Mcp-server-git 功能定位與風險因子

Mcp-server-git 是一個 Python 套件和一個 MCP 伺服器,它提供了一組內建工具,可以透過大型語言模型 (LLM) 以程式設計方式讀取、搜尋和操作 Git 儲存庫。 由於該伺服器被設計為 AI 的「手」與「眼」,若其輸入驗證機制不夠嚴密,AI 就可能在受誤導的情況下執行惡意指令。以下列出了在 2025 年 6 月負責任地披露後,已在 2025.9.25 和 2025.12.18 版本中解決的安全問題 -


漏洞詳細技術分析與 CVSS 評級

本次揭露的三大缺陷均涉及對使用者輸入處理的信任過度:

  1. CVE-2025-68143(CVSS 評分:8.8 [v3] / 6.5 [v4])- 由於 git_init 工具在建立儲存庫期間接受任意檔案系統路徑而未進行驗證,導致出現路徑遍歷漏洞(已在 2025.9.25 版本中修正)

  2. CVE-2025-68144(CVSS 評分:8.1 [v3] / 6.4 [v4])- 由於 git_diff 和 git_checkout 函數將使用者控制的參數直接傳遞給 git CLI 指令而未進行清理,導致出現參數注入漏洞(已在 2025.12.188 版本中修復)

  3. CVE-2025-68145(CVSS 評分:7.1 [v3] / 6.3 [v4])- 在使用 --repository 標誌將操作限制在特定儲存庫路徑時,由於缺少路徑驗證而導致的路徑遍歷漏洞(已在 2025.12.18 版本中修復)

成功利用上述漏洞可能使攻擊者能夠將系統上的任何目錄變成 Git 儲存庫,用空差異覆蓋任何文件,並存取伺服器上的任何儲存庫。


複合型攻擊鏈:從檔案操縱到遠端程式碼執行 (RCE)

在 Cyata 記錄的一個攻擊場景中,這三個漏洞可以與檔案系統 MCP 伺服器連結起來,寫入「.git/config」檔案(通常位於隱藏的 .git 目錄中),並透過提示字元注入觸發對 git_init 的調用,從而實現遠端程式碼執行。具體步驟如下:

  1. 使用 git_init 在可寫入目錄中建立一個倉庫
  2. 使用檔案系統 MCP 伺服器寫入一個帶有乾淨過濾器的惡意 .git/config 檔案。
  3. 編寫一個 .gitattributes 文件,將過濾器套用到特定文件。
  4. 編寫一個包含有效載荷的 shell 腳本
  5. 寫一個觸發過濾器的文件
  6. 呼叫 git_add 函數,該函數會執行清理過濾器,並執行有效負載。

這條攻擊鏈展示了 AI 助手在多個看似無害的指令(如初始化倉庫、編輯配置、添加文件)串聯下,如何被誤導成為攻擊者的「代理執行者」。


生態系統影響與參考實現之省思

針對調查結果,我們已從軟體包中移除 git_init 工具,並添加了額外的驗證機制以防止路徑遍歷攻擊。建議 Python 軟體包用戶更新至最新版本以獲得最佳保護。 然而,此事件的意義遠超單一軟體包的修補。人工智慧安全公司 Cyata 的執行長兼聯合創始人 Shahar Tal 表示:這是標準的 Git MCP 伺服器,開發者應該照搬的版本。如果即使在參考實現中安全邊界都出現問題,那就表明整個 MCP 生態系統需要更深入的審查。這些並非邊緣案例或特殊配置,它們開箱即用。


台灣產業之防禦啟示

對於台灣產業,特別是正在整合 AI 輔助開發(AI-Assisted Coding)工具的企業,本案例提供了以下核心教訓:

  • 零信任輸入機制:不應假設 AI 生成或從 AI 助手傳回的指令是安全的。所有的 CLI 調用、文件路徑操作都必須經過嚴格的「白名單」校驗。

  • 提示詞注入防禦:需意識到 AI 讀取的第三方內容(如 README 或開源代碼)可能包含隱藏指令,這對本地資源的安全隔離提出了更高要求。

  • 追蹤參考實現更新:開發團隊若採用了 Anthropic 或其他主流 AI 廠商提供的 MCP 伺服器範例,應立即進行版本查核,確保修復已生效。


結論與未來展望

MCP 協定的初衷是為 AI 提供更強大的能力,但隨之而來的是攻擊面的大幅擴張。Anthropic 此次迅速修補並移除危險功能(git_init)是正確的一步,但如研究人員所言,這僅僅是 AI 安全審查的開端。企業應建立針對 AI 代理解析器的動態監控,防止其成為滲透企業內部網路的跳板。


資料來源:https://thehackernews.com/2026/01/three-flaws-in-anthropic-mcp-git-server.html
 
分析 Anthropic 官方 MCP Git 伺服器的三大安全漏洞,揭示攻擊者如何透過「提示詞注入」操控 AI 助手,在不直接存取系統的情況下實現文件讀寫甚至遠端程式碼執行。