網(wǎng)絡(luò)安全研究人員在人工智能公司Anthropic的Model Context Protocol（MCP，模型上下文協(xié)議）Inspector項目中發(fā)現(xiàn)了可導(dǎo)致遠(yuǎn)程代碼執(zhí)行（RCE）的高危漏洞，攻擊者可借此完全控制開發(fā)者主機。該漏洞編號為CVE-2025-49596，CVSS評分為9.4分（滿分10分）。

新型AI開發(fā)工具攻擊面

Oligo Security安全研究員Avi Lumelsky在上周發(fā)布的報告中指出："這是Anthropic MCP生態(tài)系統(tǒng)中首個重大RCE漏洞，暴露出針對AI開發(fā)工具的新型瀏覽器攻擊方式。攻擊者通過控制開發(fā)者機器，能夠竊取數(shù)據(jù)、安裝后門并在網(wǎng)絡(luò)內(nèi)橫向移動，這對依賴MCP的AI團(tuán)隊、開源項目和企業(yè)用戶構(gòu)成嚴(yán)重威脅。"

MCP是Anthropic于2024年11月推出的開放協(xié)議，用于標(biāo)準(zhǔn)化大語言模型（LLM）應(yīng)用與外部數(shù)據(jù)源及工具的集成方式。MCP Inspector作為開發(fā)者工具，主要用于測試和調(diào)試通過該協(xié)議暴露特定能力的MCP服務(wù)器，使AI系統(tǒng)能夠訪問訓(xùn)練數(shù)據(jù)之外的信息。

默認(rèn)配置存在重大隱患

該工具包含兩個組件：提供測試調(diào)試交互界面的客戶端，以及連接Web界面與不同MCP服務(wù)器的代理服務(wù)器。值得注意的是，由于該服務(wù)器具有生成本地進(jìn)程的權(quán)限并能連接任意MCP服務(wù)器，本不應(yīng)暴露于任何不可信網(wǎng)絡(luò)。

Oligo指出，開發(fā)者啟動本地工具版本時采用的默認(rèn)配置存在"重大"安全風(fēng)險——既無身份驗證也無加密措施，從而開辟了新的攻擊途徑。Lumelsky警告稱："這種錯誤配置形成了巨大的攻擊面，任何能訪問本地網(wǎng)絡(luò)或公共互聯(lián)網(wǎng)的人都有可能利用這些服務(wù)器。"

0.0.0.0漏洞組合攻擊鏈

攻擊者通過串聯(lián)現(xiàn)代瀏覽器中名為"0.0.0.0 Day"的已知安全缺陷與Inspector的跨站請求偽造（CSRF）漏洞（CVE-2025-49596），僅需誘使用戶訪問惡意網(wǎng)站即可在主機上執(zhí)行任意代碼。

MCP Inspector開發(fā)團(tuán)隊在漏洞公告中確認(rèn)："0.14.1以下版本因客戶端與代理間缺乏身份驗證，允許未經(jīng)認(rèn)證的請求通過stdio接口發(fā)送MCP命令，從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行風(fēng)險。"

"0.0.0.0 Day"是存在19年的瀏覽器漏洞，惡意網(wǎng)站可利用瀏覽器無法安全處理0.0.0.0 IP地址的特性突破本地網(wǎng)絡(luò)防護(hù)。Lumelsky解釋稱："攻擊者構(gòu)建的惡意網(wǎng)站會向MCP服務(wù)器上的本地服務(wù)發(fā)送請求，從而獲得在開發(fā)者機器上執(zhí)行任意命令的能力。默認(rèn)配置使MCP服務(wù)器暴露于此類攻擊，意味著許多開發(fā)者可能無意中為機器開啟了后門。"

漏洞修復(fù)與防護(hù)措施

概念驗證（PoC）利用服務(wù)器發(fā)送事件（SSE）端點，從攻擊者控制的網(wǎng)站發(fā)送惡意請求，即使工具僅監(jiān)聽本地主機（127.0.0.1）也能實現(xiàn)RCE。這是因為0.0.0.0地址會令操作系統(tǒng)監(jiān)聽機器所有IP地址（包括本地回環(huán)接口）。

典型攻擊場景中，攻擊者設(shè)立虛假網(wǎng)頁誘騙開發(fā)者訪問，頁面中的惡意JavaScript會向0.0.0.0:6277（代理默認(rèn)端口）發(fā)送請求，指示MCP Inspector代理服務(wù)器執(zhí)行任意命令。攻擊還可結(jié)合DNS重綁定技術(shù)，偽造指向0.0.0.0:6277或127.0.0.1:6277的DNS記錄以繞過安全控制。

項目維護(hù)者于2025年4月收到漏洞報告后，在6月13日發(fā)布的0.14.1版本中修復(fù)該問題，新增代理服務(wù)器會話令牌并加入來源驗證機制。Oligo表示："修復(fù)措施添加了原先缺失的授權(quán)驗證，并檢查HTTP中的Host和Origin頭部，確?？蛻舳藖碜钥尚庞颉，F(xiàn)在服務(wù)器默認(rèn)會阻止DNS重綁定和CSRF攻擊。"