Công cụ Git chính thức của Anthropic phát hiện ba lỗ hổng nguy hiểm, trợ lý AI bất ngờ trở thành cầu nối cho hacker xâm nhập

Anthropic维护的mcp-server-git存在三项严重安全漏洞，可被通过提示注入方式利用，实现从任意文件访问到远程代码执行的完整攻击链。这些漏洞已在2025年底修复，但提醒我们AI工具链的安全防护远未完善。

三大高危漏洞的技术细节

Cyata安全研究员披露的三个漏洞分别为：

攻击链条的完整性

这三个漏洞最危险的地方在于可以组合利用。由于mcp-server-git未对repo_path参数进行路径校验，攻击者可以在系统任意目录创建Git仓库。结合git_diff的参数注入漏洞，攻击者能够通过在.git/config中配置清理过滤器，在无需执行权限的情况下运行Shell命令。

提示注入的新威胁

这些漏洞的独特之处在于可被通过提示注入方式武器化。攻击者无需直接访问受害者系统，仅需控制AI助手读取恶意内容即可触发漏洞。具体来说，攻击者可以通过恶意README文件或受损网页，让Claude等AI助手在处理时无意中执行恶意指令。

若将这些漏洞与文件系统MCP服务器结合使用，攻击者可以执行任意代码、删除系统文件，或将任意文件内容读取至大语言模型上下文中，造成严重的数据泄露和系统破坏。

Anthropic的修复方案

Anthropic在2025年12月17日获得CVE编号后迅速行动，于同年12月18日发布修复补丁。官方采取的措施包括：

• 移除了存在问题的git_init工具
• 增强了路径校验机制
• 改进了参数验证逻辑

根据最新消息，用户需要将mcp-server-git更新至2025.12.18版本或更高版本才能获得安全保护。

AI工具链安全的启示

这次漏洞事件反映出一个更广泛的问题：随着AI被集成到越来越多的开发工具中，安全防护的复杂性大幅提升。MCP（Model Context Protocol）作为连接AI和系统工具的桥梁，其安全性直接关系到整个系统的安全。

从技术角度看，当AI助手可以调用系统工具时，每一个工具的安全漏洞都可能被放大。提示注入作为攻击向量，让传统的访问控制和权限管理变得形同虚设。

总结

Anthropic这次修复的三大高危漏洞提醒我们，AI工具链的安全防护需要从设计阶段就充分考虑。虽然官方已经快速响应并发布修复方案，但更重要的是整个行业需要建立更完善的安全审计机制。对于使用mcp-server-git的开发者而言，立即更新到最新版本已成为必要行动。这也预示着，随着AI在开发工具中的深度应用，安全漏洞的影响范围会越来越大，需要更多的关注和投入。