Инструмент официального Git Anthropic выявил три уязвимости, внедрение подсказок может привести к удалённому выполнению кода

2026-01-21 00:23:23

Антропик, официальный поставщик инструмента mcp-server-git, обнаружил три серьезных уязвимости безопасности, которые могут быть удаленно использованы через инъекцию подсказок. Атакующий не нуждается в прямом доступе к системе жертвы — достаточно злоумышленнического файла README или поврежденной веб-страницы для активации уязвимости. Еще более опасно, если эти уязвимости объединить с сервером MCP файловой системы — это может привести к выполнению произвольного кода. Антропик присвоил CVE-номера и выпустил исправления 17.12.2025. Пользователям рекомендуется немедленно обновить.

Технические детали трех уязвимостей

Номер уязвимости	Тип уязвимости	Уровень риска	Основная проблема
CVE-2025-68143	Неограниченная инициализация git_init	Высокий	Позволяет инициализировать Git-репозиторий в любой директории системы
CVE-2025-68145	Обход проверки путей	Высокий	Отсутствие проверки пути в параметре repo_path
CVE-2025-68144	Инъекция параметра git_diff	Высокий	Неправильная обработка параметров, ведущая к уязвимости инъекции

Механизм атаки

По анализу безопасности компании Cyata, основная проблема этих уязвимостей — недостаточная проверка входных данных в mcp-server-git. Конкретно:

Дефект проверки путей: параметр repo_path не проверяет корректность пути, что позволяет злоумышленнику создавать Git-репозитории в любой директории системы, обходя ограничения безопасности
Злоупотребление конфигурационными файлами: злоумышленник может настроить фильтры очистки (clean filter) в файле .git/config, что позволяет запускать произвольные Shell-команды без прав на выполнение
Риск инъекции параметров: неправильная обработка команд git_diff и других — открывает двери для атак инъекции

Новая угроза через инъекцию подсказок

Особенность этих уязвимостей — скрытность методов атаки. Атакующий не обязательно взламывает систему напрямую — достаточно:

Встроить специальные команды в злонамеренный README
Использовать поврежденные веб-страницы для атаки
Воспользоваться особенностями обработки пользовательского ввода в больших языковых моделях

Когда пользователь или AI-система обрабатывает такие данные, вредоносные команды могут выполниться, активируя цепочку уязвимостей.

Опасность комбинированных рисков

Одиночная уязвимость ограничена по вредоносному воздействию, но при объединении всех трех с сервером MCP файловой системы злоумышленник может:

Выполнить произвольный код
Удалить системные файлы
Считать произвольное содержимое файлов в контекст большой языковой модели

Это дает возможность полностью контролировать систему или похитить конфиденциальные данные. Для компаний и разработчиков, использующих инструменты Anthropic, это представляет серьезную угрозу безопасности.

Решения и рекомендации

Антропик присвоил CVE-номера и выпустил исправления 17.12.2025. Официальные рекомендации:

Немедленно обновить mcp-server-git до версии 2025.12.18 или выше
Проверить наличие подозрительных конфигураций в файле .git/config
Провести аудит недавно обработанных репозиториев и логов файловых операций
Для критичных систем — провести тестирование перед обновлением

Итог

Этот инцидент подчеркивает вызовы безопасности в процессе быстрого развития AI-инструментов. Антропик, как ведущая компания в области ИИ, показывает, что даже проекты, поддерживаемые профессиональной командой, требуют постоянного аудита безопасности. Инъекция подсказок — новая форма атаки, которая становится все более распространенной в экосистеме AI и требует внимания всей индустрии. Для разработчиков важно своевременно обновлять системы, регулярно проводить аудит и соблюдать меры безопасности.

На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .