当前位置：首页 > article >正文

Anthropic MCP 设计漏洞可导致 RCE，威胁 AI 供应链安全

article 2026/4/22 23:19:40

聚焦源代码安全网罗国内外最新资讯编译代码卫士专栏·供应链安全数字化时代软件无处不在。软件如同社会中的“虚拟人”已经成为支撑社会正常运转的最基本元素之一软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展软件供应链也越发复杂多元复杂的软件供应链会引入一系列的安全问题导致信息系统的整体安全防护难度越来越大。近年来针对软件供应链的安全攻击事件一直呈快速增长态势造成的危害也越来越严重。为此我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯分析供应链安全风险提供缓解建议为供应链安全保驾护航。注以往发布的部分供应链安全相关内容请见文末“推荐阅读”部分。OX Security公司发现 Flowise 及多个 AI 框架存在一个严重漏洞导致数百万用户面临远程代码执行RCE风险。该漏洞源于由 Anthropic 开发、广泛用于 AI 代理的通信标准模型上下文协议MCP。与常见的软件缺陷不同该漏洞源于 Anthropic 官方 MCP SDK涉及 Python、TypeScript、Java 和 Rust 版本中嵌入的一项架构设计决策。任何基于 MCP 进行开发的开发者都会在不知情的情况下继承这一风险暴露面这意味着攻击面并不仅限于单一平台而是会波及整个 AI 供应链。MCP 核心架构漏洞该漏洞使攻击者能够在受影响系统上执行任意命令从而直接获取敏感的用户数据、内部数据库、API 密钥以及聊天记录。研究人员在研究过程中成功在六个生产平台上实时执行了命令。Flowise广泛使用的开源 AI 工作流构建工具是受影响最严重的平台之一。研究人员发现了一种针对 Flowise 的“加固绕过”攻击向量并证明即使配置了额外保护措施的环境仍然可以通过 MCP 适配器接口被利用。更广泛的危害范围令人震惊超过 1.5 亿次下载、7000 多个公网可访问的服务器以及整个生态系统中估计有 20 万个存在漏洞的实例。截至目前已发布至少十个 CVE 编号覆盖以下平台的关键漏洞LiteLLM、LangChain、GPT Researcher、Windsurf、DocsGPT 以及 IBM 公司的 LangFlow。这些漏洞如下CVE-2025-65720 (GPT Researcher)CVE-2026-30623 (LiteLLM) – 已修复CVE-2026-30624 (Agent Zero)CVE-2026-30618 (Fay 框架)CVE-2026-33224 (Bisheng) – 已修复CVE-2026-30617 (Langchain-Chatchat)CVE-2026-33224 (Jaaz)CVE-2026-30625 (Upsonic)CVE-2026-30615 (Windsurf)CVE-2026-26015 (DocsGPT) – 已修复CVE-2026-40933 (Flowise)如下是已确认四类不同的利用方式未授权 UI 注入影响多个流行 AI 框架。加固绕过针对 Flowise 等“受保护”环境。零点击提示词注入针对 Windsurf、Cursor 等 AI IDE。恶意 MCP 服务器投毒测试中成功污染了9 个 MCP 注册中心共11个。Anthropic 拒绝协议层面的修复OX Security的研究人员多次向 Anthropic 建议进行根因层面的补丁修复本可以保护数百万下游用户的安全。然而Anthropic 公司拒绝了该建议并将此行为定性为“符合预期”。当研究者告知其计划公开发布研究结果时Anthropic 未表示异议。安全团队应立即采取以下措施阻止 AI 服务尤其是连接了敏感 API 或数据库的服务暴露在公网。将所有外部 MCP 配置输入视为不可信并限制用户输入传递到 StdioServerParameters。仅从经过验证的来源例如官方 GitHub MCP Registry安装 MCP 服务器。在最小权限的沙箱环境中运行启用了 MCP 的服务。监控 AI 代理的工具调用行为发现异常的出站活动。立即将所有受影响服务更新到最新的已修复版本。开源卫士试用地址https://sast.qianxin.com/#/login代码卫士试用地址https://codesafe.qianxin.com推荐阅读在线阅读版《2025中国软件供应链安全分析报告》全文Axios 严重漏洞可导致 RCETrivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播热门包管理器中存在多个漏洞JavaScript 生态系统易受供应链攻击开源自托管平台 Coolify 修复11个严重漏洞可导致服务器遭完全攻陷得不到就毁掉第二轮Sha1-Hulud供应链攻击已发起影响2.5万仓库vLLM 高危漏洞可导致RCE开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源热门 React Native NPM 包中存在严重漏洞开发人员易受攻击10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据热门 React Native NPM 包中存在严重漏洞开发人员易受攻击热门NPM库 “coa” 和“rc” 接连遭劫持影响全球的 React 管道开发人员注意VSCode 应用市场易被滥用于托管恶意扩展GitHub Copilot 严重漏洞可导致私有仓库源代码被盗受 Salesforce 供应链攻击影响全球汽车巨头 Stellantis 数据遭泄露捷豹路虎数据遭泄露生产仍未恢复幕后黑手或与 Salesforce-Salesloft 供应链攻击有关十几家安全大厂信息遭泄露谁是 Salesforce-Salesloft 供应链攻击的下一个受害者第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例全球700家企业受影响黑客发动史上规模最大的 NPM 供应链攻击影响全球10%的云环境十几家安全大厂信息遭泄露谁是 Salesforce-Salesloft 供应链攻击的下一个受害者第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例全球700家企业受影响AI供应链易遭“模型命名空间复用”攻击Frostbyte10威胁全球供应链的10个严重漏洞PyPI拦截1800个过期域名邮件防御供应链攻击PyPI恶意包利用依赖引入恶意行为发动软件供应链攻击黑客利用虚假 PyPI 站点钓鱼攻击Python 开发人员700多个恶意误植域名库盯上RubyGems 仓库NPM “意外” 删除 Stylus 合法包全球流水线和构建被迫中断固件开发和更新缺陷导致漏洞多年难修供应链安全深受其害NPM仓库被植入67个恶意包传播恶意软件在线阅读版《2025中国软件供应链安全分析报告》全文NPM软件供应链攻击传播恶意软件隐秘的 npm 供应链攻击误植域名导致RCE和数据破坏NPM恶意包利用Unicode 隐写术躲避检测Aikido在npm热门包 rand-user-agent 中发现恶意代码密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥触发供应链攻击原文链接https://www.darkreading.com/application-security/ai-assisted-supply-chain-attack-targets-github本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或赞” 吧~

Anthropic MCP 设计漏洞可导致 RCE，威胁 AI 供应链安全

相关文章：

Anthropic MCP 设计漏洞可导致 RCE，威胁 AI 供应链安全

3种高效知乎数据采集方案：突破社交平台API限制的技术实现

终极指南：5分钟免费激活Windows和Office的智能解决方案

eBPF：Linux 内核的“超能力“，云原生时代的核心技术底座

告别复制粘贴！用ABAP宏优雅处理ALV字段目录赋值（附完整代码与避坑指南）

基于TEA加密的QQ协议逆向工程：手机号查询QQ号技术实现解析

反向代理与内网穿透实战

AssetRipper完全指南：高效提取Unity游戏资源的终极解决方案

别再瞎调了！STM32定时器TIM_ClockDivision到底啥时候用？BLDC电机控制实战拆解

CI/CD持续集成与持续交付：从概念到实战的完整指南

终极Minecraft RPG体验：mcMMO完整安装与配置指南 [特殊字符]

【网络安全-防火墙配置】

还在手动运营Twitter？这套自动化玩法，正在悄悄拉开差距（赛博云推）

Proteus 8.13 + STM32F103R6：5分钟搞定LED闪烁仿真（附完整工程文件）

【网络安全-病毒】

从Kaggle到Colab：我的AI学习双核引擎搭建心得与避坑指南

# 用AI写代码的人越来越多，但能判断AI对不对的人没多几个

第 6 篇 Agent Skills 完全指南：从入门到进阶，手把手教你打造 Claude Skills

别再只调sklearn了！用mlxtend给你的机器学习项目加个‘瑞士军刀’（附实战代码）

Neo4j 超详细入门

撕下“全能模型”的伪装：Anthropic 官方揭秘长周期 Agent 的“脚手架工程”与抗焦虑指南

生成式AI如何革新汽车软件测试？

告别“面霸”与“误筛”：国内主流十大AI面试产品谁才是真正的“火眼金睛”？

租赁商城小程序源码｜ThinkPHP+UniApp双端开发｜含手机租赁系统与完整部署教程

《识质存在（PRAGMATA）》v1.0 十二项修改器

【紧急预警】Docker CE 24.0+已不兼容部分国产OS内核！信创项目必须在72小时内完成的5步降级与加固配置

论文AI率太高怎么降？2026年4月最有效的5种降AI率方法

Python爬虫实战：用requests搭配免费代理IP绕过反爬，保姆级配置教程

独立开发工具站 - ToolAdd：更新4 个新工具

深度解析三大 Agent 上下文工程：Claude Code、OpenClaw、Hermes 的设计哲学