Инструменты Git от Anthropic обнаружили три критических уязвимости, и AI-ассистент стал точкой входа для хакеров

2026-01-21 01:53:50

Anthropic维护的mcp-server-git存在三项严重安全漏洞，可被通过提示注入方式利用，实现从任意文件访问到远程代码执行的完整攻击链。这些漏洞已在2025年底修复，但提醒我们AI工具链的安全防护远未完善。

Технические детали трех высокорискованных уязвимостей

Исследователь безопасности Cyata раскрыл три уязвимости:

Номер уязвимости	Название уязвимости	Уровень риска	Основная проблема
CVE-2025-68143	Неограниченный git_init	Критическая	Отсутствие ограничения путей в инструменте git_init
CVE-2025-68144	Внедрение параметров git_diff	Критическая	Недостаточная проверка параметров, приводящая к командной инъекции
CVE-2025-68145	Обход проверки путей	Критическая	Недостатки в проверке пути в параметре repo_path

Полнота цепочки атаки

Самая опасная особенность этих уязвимостей — возможность их комбинированного использования. Поскольку mcp-server-git не проверяет путь в параметре repo_path, злоумышленник может создать Git-репозиторий в любой директории системы. В сочетании с уязвимостью внедрения параметров git_diff, злоумышленник может через конфигурацию фильтров очистки в .git/config запускать Shell-команды без прав выполнения.

Новая угроза через提示注入

Эти уязвимости уникальны тем, что могут быть использованы через提示注入. Злоумышленник не нуждается в прямом доступе к системе жертвы, достаточно контролировать содержимое, которое AI-ассистент, такой как Claude, обрабатывает, чтобы вызвать уязвимость. Например, через вредоносный README или поврежденную веб-страницу можно заставить AI выполнить вредоносные команды при обработке.

Если эти уязвимости использовать вместе с файловой системой MCP-сервером, злоумышленник сможет выполнить произвольный код, удалить системные файлы или прочитать содержимое файлов в контекст большой языковой модели, что приведет к серьезной утечке данных и повреждению системы.

Решения Anthropic

После получения номера CVE 17 декабря 2025 года Anthropic быстро предприняли меры, выпустив исправление 18 декабря того же года. В их действиях были:

Удаление проблемного инструмента git_init
Усиление проверки путей
Улучшение логики проверки параметров

По последним данным, пользователи должны обновить mcp-server-git до версии 2025.12.18 или выше для обеспечения безопасности.

Важность безопасности AI-Toolchain

Этот инцидент показывает более широкую проблему: по мере интеграции AI в все больше инструментов разработки, усложняется обеспечение безопасности. MCP (Model Context Protocol), как мост между AI и системными инструментами, напрямую влияет на безопасность всей системы.

С технической точки зрения, когда AI-ассистент может вызывать системные инструменты, уязвимости каждого из них усиливаются.提示注入 как вектор атаки делает традиционные механизмы контроля доступа и управления правами практически бессмысленными.

Итоги

Три критические уязвимости, исправленные Anthropic, напоминают о необходимости учитывать безопасность AI-Toolchain с этапа проектирования. Несмотря на быструю реакцию и выпуск исправлений, важнее, чтобы вся индустрия создала более надежные механизмы аудита безопасности. Разработчикам, использующим mcp-server-git, необходимо немедленно обновиться до последней версии. Это также свидетельствует о том, что с углублением применения AI в инструментах разработки, масштабы потенциальных угроз будут расти, требуя большего внимания и инвестиций.

На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .