“`html

Anthropic Git MCP伺服器鏈式漏洞：檔案存取與遠端程式碼執行風險分析

近期，Anthropic 的 MCP（Model Context Protocol）伺服器參考實作被發現存在嚴重的 SQL 資料隱碼攻擊（SQL Injection）漏洞，該漏洞不僅影響單一系統，更可能透過軟體供應鏈擴散至數以千計的下游 AI 代理。根據 Trend Micro 的研究，這個 GitHub 儲存庫在被封存前已被分支複製超過 5,000 次，這意味着大量未修補的程式碼正在營運環境中運行，面臨資料外洩與遠端程式碼執行（RCE）的風險（Trend Micro, 2025）。

漏洞背景與影響範圍

Anthropic 的 MCP 是一套開放協議，旨在標準化 AI 系統與外部資料源和工具的整合。然而，其參考實作中的 SQL 資料隱碼漏洞卻成為攻擊者的入口。該漏洞位於程式碼處理使用者輸入的部分，直接將未淨化的輸入串接成 SQL 敘述執行，缺乏必要的過濾或檢查（Trend Micro, 2025）。這不僅允許駭客注入惡意提示，還可能挾持 AI 代理的工作流程，進一步擴大攻擊範圍。

更嚴重的是，這個漏洞與 MCP Inspector 開發工具中的遠端程式碼執行漏洞（CVE-2025-49596，CVSS 9.4）形成鏈式攻擊。MCP Inspector 的 Proxy Server 預設監聽在 0.0.0.0:6277，且缺乏身份驗證和加密措施，攻擊者可透過跨站請求偽造（CSRF）與 DNS Rebinding 技術，遠端執行任意程式碼（博客园, 2025）。

攻擊鏈分析

這個鏈式漏洞的攻擊流程可分為以下步驟：

1. SQL 資料隱碼攻擊：攻擊者透過未淨化的輸入注入惡意 SQL 指令，操控 AI 代理的資料庫查詢。
2. 提示注入與權限提升：利用 AI 代理對內部資料的信任，嵌入惡意提示，誘使 AI 代理呼叫高權限工具（如電子郵件、資料庫、雲端 API），竊取資料或橫向移動。
3. 遠端程式碼執行：透過 MCP Inspector 的 CSRF 漏洞，攻擊者可遠端執行任意程式碼，進一步控制開發者的本機環境。

這個攻擊鏈不僅影響單一系統，更可能透過軟體供應鏈擴散至整個 AI 代理生態系，導致大規模的資料外洩與服務中斷（iThome, 2025）。

風險與緩解措施

由於官方尚未提供修補更新，企業與開發者必須自行採取緩解措施：

• 輸入驗證與淨化：確保所有使用者輸入均經過嚴格的驗證與淨化，避免 SQL 資料隱碼攻擊。
• 權限最小化：限制 AI 代理的存取權限，避免其呼叫高權限工具。
• 網路隔離：將 MCP Inspector 的 Proxy Server 限制在內部網路存取，避免暴露在公共網路。
• 更新至安全版本：若使用 MCP Inspector，應立即升級至 0.14.1 或更高版本（博客园, 2025）。

MITRE ATT&CK 對應

• T1190 – Exploit Public-Facing Application（利用面向公眾的應用程式）
• T1059 – Command and Scripting Interpreter（命令與腳本解譯器）
• T1204 – User Execution（使用者執行）

參考資料與原文來源

• 🔗 原文來源: Trend Micro
• 🔗 原文來源: 博客园
• 🔗 原文來源: iThome

“`

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。