高危漏洞突袭！Anthropic MCP协议存架构缺陷，20万台AI服务器面临远程攻击风险

一份重磅安全报告的发布，让全球 AI 开发者圈子瞬间陷入紧绷状态。网络安全企业 OX Security 于 4 月 15 日正式对外发布调查报告，直指 Anthropic 公司推出的 MCP（模型上下文协议）存在架构层面的设计漏洞，该漏洞可被利用实现远程代码执行，受影响的 AI 服务器数量已超过 20 万台，安全隐患触目惊心。

据悉，MCP 是 Anthropic 于 2024 年 11 月推出的一款开源标准，其核心用途是帮助 AI 大模型实现与各类外部数据、工具的无缝对接与操作，凭借便捷性，该协议目前已被大量开发者广泛应用于 AI 应用的搭建工作中，成为 AI 工具链中的重要组成部分。

深入剖析漏洞根源，其问题主要隐藏在 MCP SDK 的 STDIO 接口之中。该接口的设计初衷是用于启动本地服务器进程，但底层执行逻辑却存在致命隐患：无论传入何种操作系统命令，该接口都会直接执行，即便服务器启动操作返回失败错误，相关命令依然会被触发执行，整个过程既无任何输入校验机制，也不会向开发者发出任何安全警告。OX Security 在报告中明确指出，这一漏洞并非代码编写过程中的低级失误，而是架构设计阶段的决策性问题，修复难度远高于普通代码漏洞。

该漏洞的波及范围极为广泛，覆盖了 Anthropic 官方支持的全部 11 种编程语言，其中就包括 Python、TypeScript、Java、Go、Rust 等当下 AI 开发领域的主流语言。这也就意味着，任何基于 MCP 协议搭建应用的开发者，都会自动继承这一安全风险，其开发的应用及关联服务器都可能成为攻击者的目标。

为验证漏洞的实际危害，OX Security 耗时数月，在真实应用环境中测试验证了四类可行的攻击方式，每一种都极具破坏性：LangFlow 平台上有 915 个公开实例存在漏洞，攻击者无需注册账户，即可轻松获取会话令牌，实现对实例的完整接管；Letta AI 遭遇中间人攻击，研究人员成功在其生产服务器上直接执行任意命令，控制权被轻易窃取；Flowise 平台原本设置的白名单过滤防护机制，被攻击者轻松绕过，防御形同虚设；最为严重的是 Windsurf IDE 存在的漏洞，用户只需访问一个恶意网站，无需进行任何点击操作，攻击者就能在其本地设备上执行任意命令，该漏洞已获得官方 CVE 编号，属于高危级别的安全隐患。

值得注意的是，Anthropic 在漏洞处置上的态度引发业界争议。该公司于今年 1 月 7 日收到漏洞通报后，仅回应称该问题属于“预期行为”，并未采取实质性修复措施；9 天后，Anthropic 仅更新了一份安全文档，简单提示开发者谨慎使用 STDIO 适配器，对于架构层面的核心漏洞，未作出任何修改与优化，相当于放任安全隐患持续存在。

更令人担忧的是，MCP 生态的安全审查机制存在严重缺失。研究人员曾向 11 个主流 MCP 市场上传恶意服务器进行测试，结果显示，其中 9 个市场未进行任何安全审查，直接通过了恶意服务器的上传请求，仅有 GitHub 的托管注册表成功拦截了此次提交，凸显出整个 MCP 生态的安全防护漏洞。

截至目前，LiteLLM、DocsGPT、Flowise 等部分依赖 MCP 协议的平台，已针对该漏洞发布了修复补丁，逐步降低安全风险；但 LangFlow、Agent Zero 等平台仍未完成漏洞修复，尚未采取有效防护措施。更为关键的是，MCP 协议本身架构层面的根本问题仍未解决，安全漏洞依旧处于敞开状态，未得到实质性闭环。对于正在使用或计划使用 MCP 协议搭建应用的开发者而言，这份安全报告绝非危言耸听，亟需高度重视、及时排查，避免因漏洞被利用而遭受损失。

以上关于高危漏洞突袭！Anthropic MCP协议存架构缺陷，20万台AI服务器面临远程攻击风险的文章就介绍到这了，更多相关内容请搜索码云笔记以前的文章或继续浏览下面的相关文章，希望大家以后多多支持码云笔记。