Anthropic官方Git MCP伺服器曝三漏洞,提示注入可繞過路徑限制並覆寫檔案
漏洞概述
資安公司Cyata Research揭露,Anthropic維護的官方Git用MCP伺服器mcp-server-git存在三項弱點。攻擊者只要能以提示注入影響AI助理讀到的內容,就可能引導模型在呼叫工具時帶入惡意參數,繞過原本設定的儲存庫路徑限制,擴大可被操作的Git範圍,並在特定工具呼叫下造成檔案覆寫或刪除。
具體漏洞細節
- 無限制的git_init功能:允許在任意文件系統路徑初始化倉庫。
- 路徑驗證繞過漏洞:可訪問配置允許列表之外的倉庫,擴大可被操作的Git範圍。
- 檔案覆寫或刪除風險:在特定工具呼叫下,可能導致檔案被覆寫或刪除,若環境啟用可寫入檔案的能力,風險還可能擴大到程式碼執行。
攻擊手法與影響
攻擊者可透過提示注入誘導AI助理在工具呼叫時帶入惡意參數,繞過儲存庫路徑限制,進而導致檔案遭覆寫或刪除。研究人員證明,透過AI讀取的內容進行快速注入,無需直接訪問系統即可觸發攻擊。
修復進度
相關漏洞已在2025年9月與12月版本中修復,官方已移除git_init工具並強化路徑驗證機制。