瑞士新創安全公司Invariant Labs揭露一項影響廣泛的嚴重資安漏洞,涉及目前社群積極推動並與GitHub平臺整合的MCP(Model Context Protocol)伺服器。該漏洞可使攻擊者僅透過在公開儲存庫建立特製的GitHub Issue,誘使人工智慧代理如Claude Desktop等現有支援MCP技術的人工智慧開發工具,在特定授權情境下,將用戶私有儲存庫中的敏感資料外洩至公開儲存庫。
該漏洞的關鍵在於人工智慧代理在用戶授權後,會依照開發者對GitHub MCP伺服器的查詢,自動執行讀取指定儲存庫Issue、建立拉取請求等操作,而攻擊者只需在目標用戶的公開儲存庫新增具惡意提示詞注入的Issue,當用戶請求人工智慧代理檢視該儲存庫的公開Issue時,代理即可能受提示詞操控,在自動授權設定下擷取用戶帳號的私有儲存庫內容,最終將敏感資訊透過拉取請求等方式洩漏於公開儲存庫。
此攻擊流程不仰賴複雜的權限提升或伺服器漏洞,而是利用MCP協定與代理授權的機制。人工智慧代理雖具用戶確認操作的安全設計,但部分用戶為提升操作效率,可能選擇總是允許等預設授權,讓代理可於無人監督下執行多項行動,進一步增加提示詞注入攻擊成功的機會。
研究人員進一步說明,這類惡意代理流程漏洞,並非MCP本身的程式碼缺陷,也非傳統伺服器權限設定問題,而是生成式人工智慧代理工具與第三方平臺整合時,未妥善限制其跨儲存庫或跨權限操作的架構性問題。即使採用已加強對齊與安全訓練的先進人工智慧模型,在實驗場景下仍無法有效防範這類提示詞注入的複合攻擊。
針對這類風險,研究人員建議組織與開發團隊在導入MCP等人工智慧代理技術時,應落實權限最小化原則,僅開放代理存取必要的儲存庫範圍。目前未有官方修補方案,且由於屬於架構設計層級的安全議題,現階段僅能透過額外的安全層或代理行為監控工具降低潛在風險。
熱門新聞
2025-06-16
2025-06-16
2025-06-16
2025-06-13
2025-06-13
2025-06-16
2025-06-13