网络安全研究人员在人工智能公司Anthropic的Model Context Protocol(MCP,模型上下文协议)Inspector项目中发现了可导致远程代码执行(RCE)的高危漏洞,攻击者可借此完全控制开发者主机。该漏洞编号为CVE-2025-49596,CVSS评分为9.4分(满分10分)。
新型AI开发工具攻击面
Oligo Security安全研究员Avi Lumelsky在上周发布的报告中指出:这是Anthropic MCP生态系统中首个重大RCE漏洞,暴露出针对AI开发工具的新型浏览器攻击方式。攻击者通过控制开发者机器,能够窃取数据、安装后门并在网络内横向移动,这对依赖MCP的AI团队、开源项目和企业用户构成严重威胁。
MCP是Anthropic于2024年11月推出的开放协议,用于标准化大语言模型(LLM)应用与外部数据源及工具的集成方式。MCP Inspector作为开发者工具,主要用于测试和调试通过该协议暴露特定能力的MCP服务器,使AI系统能够访问训练数据之外的信息。
默认配置存在重大隐患
该工具包含两个组件:提供测试调试交互界面的客户端,以及连接Web界面与不同MCP服务器的代理服务器。值得注意的是,由于该服务器具有生成本地进程的权限并能连接任意MCP服务器,本不应暴露于任何不可信网络。
Oligo指出,开发者启动本地工具版本时采用的默认配置存在重大安全风险——既无身份验证也无加密措施,从而开辟了新的攻击途径。Lumelsky警告称:这种错误配置形成了巨大的攻击面,任何能访问本地网络或公共互联网的人都有可能利用这些服务器。
0.0.0.0漏洞组合攻击链
攻击者通过串联现代浏览器中名为0.0.0.0 Day的已知安全缺陷与Inspector的跨站请求伪造(CSRF)漏洞(CVE-2025-49596),仅需诱使用户访问恶意网站即可在主机上执行任意代码。
