Інструмент Git від Anthropic виявив три великі уразливості, ін'єкція підказок може призвести до віддаленого виконання коду

Anthropic维护的官方mcp-server-git工具被曝存在三个严重安全漏洞，这些漏洞可通过提示词注入方式被远程利用，攻击者无需直接访问受害者系统，仅通过恶意README文件或受损网页就能触发。更危险的是，若将这些漏洞与文件系统MCP服务器结合，攻击者可能实现任意代码执行。Anthropic已于2025年12月17日分配CVE编号並發布修復補丁，建議用戶立即更新。

三個漏洞的技術細節

攻擊原理

根據安全研究機構Cyata的分析，這些漏洞的核心問題在於mcp-server-git對輸入參數的驗證不足。具體來說：

• 路徑驗證缺陷：repo_path參數沒有進行有效的路徑校驗，攻擊者可在系統任意目錄建立Git倉庫，突破原有的安全邊界
• 配置文件濫用：攻擊者可在.git/config文件中配置清理過濾器（clean filter），進而在無需執行權限的情況下運行任意Shell命令
• 參數注入風險：git_diff等命令的參數處理不當，為注入攻擊打開了大門

提示詞注入的新型威脅

這類漏洞的特別之處在於攻擊方式的隱蔽性。攻擊者不需要直接入侵系統，而是通過以下方式觸發：

• 在惡意README文件中嵌入特殊指令
• 通過受損的網頁內容進行攻擊
• 利用大語言模型對用戶輸入的處理特性

當用戶或AI系統處理這些內容時，惡意指令會被執行，從而觸發漏洞鏈。

組合風險的危害

單個漏洞的危害有限，但若將這三個漏洞與文件系統MCP伺服器結合使用，攻擊者可能實現：

• 執行任意代碼
• 刪除系統文件
• 將任意文件內容讀取至大語言模型上下文中

這意味著攻擊者可能獲得系統的完全控制權，或者竊取敏感數據。對於使用Anthropic工具進行開發或部署的企業和個人而言，這構成了嚴重的安全威脅。

修復方案與建議

Anthropic已在2025年12月17日分配CVE編號並提交修復補丁。官方建議：

• 立即將mcp-server-git更新至2025.12.18或更高版本
• 檢查系統中是否存在可疑的.git/config配置
• 審計最近處理過的Git倉庫和文件操作日誌
• 對於關鍵系統，建議在更新前進行充分的測試

總結

這次漏洞事件反映了AI工具快速發展過程中的安全挑戰。Anthropic作為行業領先的AI公司，其官方工具出現這樣的漏洞提醒我們，即使是由專業團隊維護的項目，也需要持續的安全審計。提示詞注入作為一種新型攻擊方式，正在成為AI生態中的常見威脅，值得整個行業重視。對於開發者而言，及時更新、定期審計和安全意識缺一不可。