資安公司Cyata Research揭露,Anthropic維護的官方Git用MCP伺服器mcp-server-git存在三項弱點。攻擊者只要能以提示注入影響AI助理讀到的內容,就可能引導模型在呼叫工具時帶入惡意參數,繞過原本設定的儲存庫路徑限制,擴大可被操作的Git範圍,並在特定工具呼叫下造成檔案覆寫或刪除,要是環境又啟用可寫入檔案的能力,風險還可能擴大到程式碼執行。
MCP是Anthropic所提出的開放標準,讓AI助理以一致介面連結外部工具與資料來源,例如檔案系統、應用程式介面與Git等。該架構讓MCP伺服器會依模型的決策,在本機或開發環境執行操作,因此提示注入不只是內容誤導,也可能轉化成具體的工具呼叫與系統動作。
研究人員說明,第一項CVE-2025-68145漏洞與路徑驗證有關,mcp-server-git啟動時可限定允許操作的儲存庫位置,但工具呼叫時傳入的儲存庫路徑未與該限制比對,導致在提示注入影響下,AI可能被引導操作系統上其他可存取的Git儲存庫。第二項CVE-2025-68143漏洞是Git初始缺乏路徑限制,可能在任意目錄初始化新的Git儲存庫,讓原本不是專案的資料夾被納入Git操作範圍。研究人員也提醒,該情境可能使檔案內容被讀入模型上下文,雖不等於直接外傳,但仍會讓敏感資訊進入AI可見範圍與後續處理流程。
第三項CVE-2025-68144漏洞屬於參數注入。研究人員發現,該伺服器在執行Git差異比對時,會把使用者提供的比對目標參數直接交由Git命令列解析,缺乏必要的參數約束。攻擊者可藉此把原本應該只是指定比對對象的輸入,變成可影響Git輸出行為的選項,造成檔案被覆寫,達到破壞或等同刪除的效果。研究人員也提到,要是同時具備寫入檔案能力,攻擊者可能改寫Git設定,利用Git既有機制在特定操作時觸發命令殼層指令,使風險上升到程式碼執行層級。
Cyata在2025年6月向Anthropic通報並持續補充細節,9月通報獲得接受,12月完成CVE編號指派並提交修補。使用者需升級mcp-server-git至2025.12.18或更新版本,同時盤點實際啟用的MCP伺服器組合,避免在未評估風險下同時開放Git與檔案系統等高權限能力,並留意非預期目錄出現.git資料夾等狀況。
熱門新聞
2026-01-19
2026-01-20
2026-01-20
2026-01-16
2026-01-19
2026-01-20