Les outils Git officiels d'Anthropic présentent trois vulnérabilités majeures, l'assistant IA devient un tremplin pour les hackers

Anthropic maintient le mcp-server-git avec trois vulnérabilités de sécurité graves, pouvant être exploitées via une injection de prompts, permettant une chaîne d’attaque complète allant de l’accès à n’importe quel fichier à l’exécution de code à distance. Ces vulnérabilités ont été corrigées fin 2025, mais elles rappellent que la sécurité des outils AI est encore loin d’être parfaite.

Détails techniques des trois vulnérabilités à haut risque

Les trois vulnérabilités divulguées par le chercheur en sécurité Cyata sont :

L’intégrité de la chaîne d’attaque

Le danger principal de ces trois vulnérabilités réside dans leur possibilité de combinaison. Étant donné que mcp-server-git ne vérifie pas le chemin du paramètre repo_path, un attaquant peut créer un dépôt Git dans n’importe quel répertoire du système. En combinant cela avec la vulnérabilité d’injection de paramètres de git_diff, l’attaquant peut configurer un filtre de nettoyage dans .git/config et exécuter des commandes Shell sans avoir besoin de droits d’exécution.

La nouvelle menace d’injection de prompts

Ce qui rend ces vulnérabilités particulièrement dangereuses, c’est leur capacité à être exploitées via une injection de prompts. L’attaquant n’a pas besoin d’accéder directement au système de la victime ; il suffit de contrôler la lecture de contenus malveillants par l’assistant AI pour déclencher la vulnérabilité. Concrètement, en utilisant un fichier README malveillant ou une page web compromise, des assistants AI comme Claude peuvent involontairement exécuter des commandes malicieuses lors de leur traitement.

En combinant ces vulnérabilités avec le serveur MCP du système de fichiers, un attaquant peut exécuter du code arbitraire, supprimer des fichiers système ou lire le contenu de n’importe quel fichier dans le contexte du modèle de langage, entraînant des fuites de données graves et des dommages au système.

La réponse d’Anthropic

Après avoir obtenu le numéro CVE le 17 décembre 2025, Anthropic a rapidement agi en publiant un correctif le 18 décembre de la même année. Les mesures prises par l’équipe officielle incluent :

• La suppression de l’outil git_init problématique
• Le renforcement du mécanisme de vérification des chemins
• L’amélioration de la logique de validation des paramètres

Selon les dernières informations, les utilisateurs doivent mettre à jour mcp-server-git vers la version 2025.12.18 ou supérieure pour bénéficier d’une protection sécuritaire.

Leçons pour la sécurité de la chaîne d’outils AI

Cet incident de vulnérabilités met en lumière un problème plus large : à mesure que l’IA s’intègre dans de plus en plus d’outils de développement, la complexité de la sécurité augmente considérablement. Le MCP (Model Context Protocol), en tant que pont entre l’IA et les outils système, voit sa sécurité directement liée à celle de l’ensemble du système.

D’un point de vue technique, lorsque l’assistant AI peut invoquer des outils système, chaque vulnérabilité de ces outils peut être amplifiée. L’injection de prompts, en tant que vecteur d’attaque, rend obsolètes les contrôles d’accès et la gestion des permissions traditionnels.

Résumé

Les trois vulnérabilités critiques corrigées par Anthropic rappellent que la sécurité de la chaîne d’outils AI doit être prise en compte dès la phase de conception. Bien que l’équipe ait réagi rapidement et publié un correctif, il est crucial pour l’ensemble du secteur de mettre en place des mécanismes d’audit de sécurité plus robustes. Pour les développeurs utilisant mcp-server-git, la mise à jour immédiate vers la dernière version est devenue une étape essentielle. Cela indique également qu’avec l’intégration profonde de l’IA dans les outils de développement, l’impact des vulnérabilités de sécurité ne fera que croître, nécessitant une vigilance et des investissements accrus.