Anthropic官方Git工具曝三大漏洞，提示词注入可能导致远程代码执行

Anthropic维护的官方mcp-server-git工具被曝存在三个严重安全漏洞，这些漏洞可通过提示词注入方式被远程利用，攻击者无需直接访问受害者系统，仅通过恶意README文件或受损网页就能触发。更危险的是，若将这些漏洞与文件系统MCP服务器结合，攻击者可能实现任意代码执行。Anthropic已于2025年12月17日分配CVE编号并发布修复补丁，建议用户立即更新。

三个漏洞的技术细节

攻击原理

根据安全研究机构Cyata的分析，这些漏洞的核心问题在于mcp-server-git对输入参数的验证不足。具体来说：

• 路径验证缺陷：repo_path参数没有进行有效的路径校验，攻击者可在系统任意目录创建Git仓库，突破原有的安全边界
• 配置文件滥用：攻击者可在.git/config文件中配置清理过滤器（clean filter），进而在无需执行权限的情况下运行任意Shell命令
• 参数注入风险：git_diff等命令的参数处理不当，为注入攻击打开了大门

提示词注入的新型威胁

这类漏洞的特别之处在于攻击方式的隐蔽性。攻击者不需要直接入侵系统，而是通过以下方式触发：

• 在恶意README文件中嵌入特殊指令
• 通过受损的网页内容进行攻击
• 利用大语言模型对用户输入的处理特性

当用户或AI系统处理这些内容时，恶意指令会被执行，从而触发漏洞链。

组合风险的危害

单个漏洞的危害有限，但若将这三个漏洞与文件系统MCP服务器结合使用，攻击者可能实现：

• 执行任意代码
• 删除系统文件
• 将任意文件内容读取至大语言模型上下文中

这意味着攻击者可能获得系统的完全控制权，或者窃取敏感数据。对于使用Anthropic工具进行开发或部署的企业和个人而言，这构成了严重的安全威胁。

修复方案与建议

Anthropic已在2025年12月17日分配CVE编号并提交修复补丁。官方建议：

• 立即将mcp-server-git更新至2025.12.18或更高版本
• 检查系统中是否存在可疑的.git/config配置
• 审计最近处理过的Git仓库和文件操作日志
• 对于关键系统，建议在更新前进行充分的测试

总结

这次漏洞事件反映了AI工具快速发展过程中的安全挑战。Anthropic作为行业领先的AI公司，其官方工具出现这样的漏洞提醒我们，即使是由专业团队维护的项目，也需要持续的安全审计。提示词注入作为一种新型攻击方式，正在成为AI生态中的常见威胁，值得整个行业重视。对于开发者而言，及时更新、定期审计和安全意识缺一不可。