Anthropic官方Git工具爆三大高危漏洞，AI助手竟成黑客入侵跳板

Anthropic維護的mcp-server-git存在三項嚴重安全漏洞，可被透過提示注入方式利用，實現從任意檔案存取到遠端程式碼執行的完整攻擊鏈。這些漏洞已在2025年底修復，但提醒我們AI工具鏈的安全防護遠未完善。

三大高危漏洞的技術細節

Cyata安全研究員披露的三個漏洞分別為：

攻擊鏈條的完整性

這三個漏洞最危險的地方在於可以組合利用。由於mcp-server-git未對repo_path參數進行路徑校驗，攻擊者可以在系統任意目錄建立Git倉庫。結合git_diff的參數注入漏洞，攻擊者能夠透過在.git/config中配置清理過濾器，在無需執行權限的情況下運行Shell命令。

提示注入的新威脅

這些漏洞的獨特之處在於可被透過提示注入方式武器化。攻擊者無需直接存取受害者系統，只需控制AI助手讀取惡意內容即可觸發漏洞。具體來說，攻擊者可以透過惡意README檔案或受損網頁，讓Claude等AI助手在處理時無意中執行惡意指令。

若將這些漏洞與檔案系統MCP伺服器結合使用，攻擊者可以執行任意程式碼、刪除系統檔案，或將任意檔案內容讀取至大語言模型上下文中，造成嚴重的資料外洩和系統破壞。

Anthropic的修復方案

Anthropic在2025年12月17日獲得CVE編號後迅速行動，於同年12月18日發布修復補丁。官方採取的措施包括：

• 移除存在問題的git_init工具
• 增強了路徑校驗機制
• 改進了參數驗證邏輯

根據最新消息，使用者需要將mcp-server-git更新至2025.12.18版本或更高版本才能獲得安全保護。

AI工具鏈安全的啟示

這次漏洞事件反映出一個更廣泛的問題：隨著AI被整合到越來越多的開發工具中，安全防護的複雜性大幅提升。MCP（Model Context Protocol）作為連結AI和系統工具的橋樑，其安全性直接關係到整個系統的安全。

從技術角度看，當AI助手可以調用系統工具時，每一個工具的安全漏洞都可能被放大。提示注入作為攻擊向量，讓傳統的存取控制和權限管理變得形同虛設。

總結

Anthropic這次修復的三大高危漏洞提醒我們，AI工具鏈的安全防護需要從設計階段就充分考慮。雖然官方已經快速回應並發布修復方案，但更重要的是整個產業需要建立更完善的安全審計機制。對於使用mcp-server-git的開發者而言，立即更新到最新版本已成為必要行動。這也預示著，隨著AI在開發工具中的深度應用，安全漏洞的影響範圍會越來越大，需要更多的關注和投入。