Les outils Git officiels d'Anthropic révèlent trois vulnérabilités majeures, l'injection de prompts pouvant entraîner une exécution de code à distance

Anthropic maintient l’outil officiel mcp-server-git qui a été révélé présenter trois vulnérabilités de sécurité graves. Ces vulnérabilités peuvent être exploitées à distance via l’injection de prompts, sans que l’attaquant n’ait besoin d’accéder directement au système de la victime, simplement en utilisant un fichier README malveillant ou une page web compromise. Plus dangereux encore, si ces vulnérabilités sont combinées avec le serveur MCP du système de fichiers, l’attaquant pourrait exécuter du code arbitraire. Anthropic a attribué un numéro CVE le 17 décembre 2025 et publié un correctif, il est recommandé aux utilisateurs de mettre à jour immédiatement.

Détails techniques des trois vulnérabilités

Principe de l’attaque

Selon l’analyse de l’organisme de sécurité Cyata, le problème central de ces vulnérabilités réside dans l’insuffisance de validation des paramètres d’entrée par mcp-server-git. Plus précisément :

• Défaut de validation du chemin : le paramètre repo_path n’est pas correctement vérifié, permettant à un attaquant de créer un dépôt Git dans n’importe quel répertoire du système, franchissant ainsi la frontière de sécurité initiale
• Abus du fichier de configuration : l’attaquant peut configurer un filtre de nettoyage (clean filter) dans le fichier .git/config, ce qui permet d’exécuter des commandes Shell arbitraires sans droits d’exécution
• Risque d’injection de paramètres : la mauvaise gestion des paramètres pour des commandes comme git_diff ouvre la porte à des attaques par injection

Menace nouvelle liée à l’injection de prompts

Ce type de vulnérabilité est particulièrement insidieux par sa nature discrète. L’attaquant n’a pas besoin d’infiltrer directement le système, mais peut déclencher l’exploitation via :

• l’insertion d’instructions spéciales dans un fichier README malveillant
• l’attaque via du contenu web compromis
• l’exploitation des caractéristiques de traitement des entrées par de grands modèles de langage

Lorsque l’utilisateur ou le système d’IA traite ces contenus, les instructions malveillantes peuvent être exécutées, déclenchant ainsi la chaîne d’exploitation.

Risques combinés et impact

La vulnérabilité isolée est limitée, mais si ces trois failles sont exploitées conjointement avec le serveur MCP du système de fichiers, l’attaquant pourrait :

• exécuter du code arbitraire
• supprimer des fichiers système
• lire le contenu de n’importe quel fichier dans le contexte du modèle de langage

Cela pourrait donner à l’attaquant un contrôle total du système ou lui permettre de voler des données sensibles. Pour les entreprises et particuliers utilisant les outils d’Anthropic pour le développement ou le déploiement, cela représente une menace de sécurité grave.

Solutions et recommandations

Anthropic a attribué un numéro CVE le 17 décembre 2025 et publié un correctif. Il est conseillé de :

• Mettre à jour immédiatement mcp-server-git vers la version 2025.12.18 ou supérieure
• Vérifier la présence de configurations suspectes dans .git/config
• Auditer les dépôts Git récemment traités et les logs d’opérations sur les fichiers
• Effectuer des tests approfondis avant de déployer la mise à jour sur des systèmes critiques

Résumé

Cet incident met en lumière les défis de sécurité liés au développement rapide des outils d’IA. En tant que leader dans le secteur, la présence de telles vulnérabilités dans les outils officiels d’Anthropic rappelle que même les projets maintenus par des équipes professionnelles nécessitent une vigilance continue en matière de sécurité. L’injection de prompts, en tant que nouvelle méthode d’attaque, devient une menace courante dans l’écosystème IA, ce qui exige une attention particulière de toute la communauté. Pour les développeurs, la mise à jour régulière, l’audit périodique et la sensibilisation à la sécurité sont indispensables.