网络安全公司发布的调查报告显示,Anthropic在2024年11月推出的开源标准MCP存在架构设计缺陷,可能导致远程代码执行,影响超20万台AI服务器。问题源于MCP SDK的STDIO接口,其底层执行逻辑存在严重隐患,影响所有支持的11种编程语言。OX Security验证了四类攻击方式,如LangFlow平台可被接管、Letta AI遭中间人攻击等。Anthropic回应称这是“预期行为”,仅更新了安全文档。研究者测试发现,多数MCP市场缺乏安全审查。目前,部分平台已发布补丁,但部分仍待修复,使用或计划使用MCP的开发者需重视该报告。
简体中文
English