No.0291

Science Partner

Bring you to the side of science

導(dǎo) 讀

有時(shí)候，最危險(xiǎn)的漏洞不是黑客寫的，而是工程師設(shè)計(jì)進(jìn)去的。

走，跟伙伴君來(lái)！

今日主筆 | 晶恒

20萬(wàn)臺(tái)AI服務(wù)器的“定時(shí)炸彈”：Anthropic說(shuō)，這不是Bug，這是Feature

01. 事情是怎么鬧出來(lái)的

2026年4月，安全公司OX Security的幾個(gè)研究員，盯著Anthropic的MCP協(xié)議，盯了很久。

MCP是什么？全稱Model Context Protocol，翻譯過(guò)來(lái)叫模型上下文協(xié)議。你可以把它理解成AI世界的USB接口，它讓AI助手能夠連接外部工具、操控本地文件、查數(shù)據(jù)庫(kù)、跑代碼、調(diào)API。你在用Cursor寫代碼、用Claude幫你搜索本地文檔、讓AI Agent自動(dòng)完成一系列任務(wù)，背后很可能都跑著MCP。

Anthropic在2024年發(fā)布了MCP，2025年12月把它捐給了Linux基金會(huì)。OpenAI跟進(jìn)了，Google DeepMind也跟進(jìn)了。這個(gè)協(xié)議，正在悄悄成為整個(gè)AI工具鏈的底層基礎(chǔ)設(shè)施。

然后，OX Security的研究員發(fā)現(xiàn)了一個(gè)問(wèn)題。

說(shuō)“問(wèn)題”可能太輕了。準(zhǔn)確地說(shuō)，他們發(fā)現(xiàn)了一顆埋在這個(gè)基礎(chǔ)設(shè)施核心位置的地雷。

02. 漏洞的本質(zhì)：一個(gè)設(shè)計(jì)上的“想當(dāng)然”

理解這個(gè)漏洞，需要先知道MCP的一種核心傳輸方式，STDIO（標(biāo)準(zhǔn)輸入/輸出）。

STDIO是計(jì)算機(jī)界最古老、最底層的通信方式之一，就是進(jìn)程之間通過(guò)“鍵盤輸入、屏幕輸出”的形式傳遞數(shù)據(jù)。MCP在設(shè)計(jì)上，允許AI Agent通過(guò)STDIO去啟動(dòng)一個(gè)本地服務(wù)器進(jìn)程，然后與這個(gè)進(jìn)程通信，執(zhí)行各種任務(wù)。

伙伴，問(wèn)題就出在這里：

MCP的設(shè)計(jì)邏輯是，先把命令發(fā)出去執(zhí)行，然后再握手驗(yàn)證。OX Security把這個(gè)問(wèn)題命名得很直白“Execute First, Validate Never“（先執(zhí)行，從不驗(yàn)證）。這意味著，如果某個(gè)下游實(shí)現(xiàn)存在不安全的輸入拼接，攻擊者構(gòu)造的惡意輸入就會(huì)被系統(tǒng)老老實(shí)實(shí)地執(zhí)行。技術(shù)術(shù)語(yǔ)叫RCE，遠(yuǎn)程代碼執(zhí)行。在安全界，這是漏洞金字塔里最頂端的一類。拿到RCE，基本等于拿到了這臺(tái)機(jī)器的鑰匙。

OX Security的研究員不是在實(shí)驗(yàn)室里空想。他們?cè)?個(gè)真實(shí)生產(chǎn)平臺(tái)上成功執(zhí)行了任意命令，毒化了11個(gè)MCP應(yīng)用市場(chǎng)中的9個(gè)，最終觸發(fā)了超過(guò)10個(gè)高危/嚴(yán)重CVE，其中9個(gè)被評(píng)為最高級(jí)別，即Critical（嚴(yán)重）。

受影響的項(xiàng)目名單，讀起來(lái)像一張AI開發(fā)工具的名人錄：LiteLLM、LangChain、LangFlow、Flowise、Cursor、GitHub Copilot……這些，是目前全球開發(fā)者日常使用頻率最高的AI工具。

規(guī)模呢？

超過(guò)7,000個(gè)公開暴露的服務(wù)器，潛在影響實(shí)例最高估計(jì)約20萬(wàn)個(gè)，生態(tài)下載量已超過(guò)1.5億次。

03. 最刺激的部分來(lái)了

發(fā)現(xiàn)漏洞之后，正常的流程是負(fù)責(zé)任披露，要通知廠商，給他們時(shí)間修復(fù)，再公開。OX Security就是這么做的。

他們找到了Anthropic，詳細(xì)說(shuō)明了問(wèn)題，并建議在協(xié)議層面做架構(gòu)修改，在命令執(zhí)行之前加入輸入過(guò)濾和驗(yàn)證機(jī)制。

然而，Anthropic的回答，讓他們愣了一下。

這是預(yù)期行為。（This is expected behavior.）

據(jù)OX Security轉(zhuǎn)述，Anthropic的立場(chǎng)是：STDIO本身的執(zhí)行模型沒問(wèn)題，是安全默認(rèn)值。輸入過(guò)濾和驗(yàn)證，是每個(gè)使用MCP的開發(fā)者自己的責(zé)任。Anthropic唯一做的，是更新了一下SECURITY.md文檔。這就相當(dāng)于在地雷旁邊立了塊牌子，寫上“小心地雷喲”，然后繼續(xù)往前走。

協(xié)議本身？一行代碼沒改。

04. 這里有一場(chǎng)真正有意思的技術(shù)爭(zhēng)論

平心而論，Anthropic的邏輯并非完全站不住腳。

他們的工程師有一個(gè)技術(shù)論點(diǎn)：STDIO是本地子進(jìn)程傳輸機(jī)制，信任邊界本來(lái)就在誰(shuí)控制MCP配置文件這一層，如果你能改配置，本來(lái)就屬于可在該機(jī)器上執(zhí)行命令的人。在協(xié)議層做輸入凈化，要么破壞傳輸機(jī)制本身，要么只是把攻擊面下移一層，換個(gè)思路照樣能繞過(guò)。

這個(gè)邏輯，在安全界有一定道理。深度防御（Defense in Depth）的原則本來(lái)就主張?jiān)诿恳粚佣甲霭踩皇侵豢磕骋坏婪谰€。

但OX Security的反駁同樣有力：

奧，合著您Anthropic設(shè)計(jì)了一個(gè)協(xié)議，20萬(wàn)量級(jí)的開發(fā)者會(huì)用它。你要求所有人都正確地實(shí)現(xiàn)輸入過(guò)濾，一個(gè)都不能犯錯(cuò)，這本身就是系統(tǒng)性風(fēng)險(xiǎn)。協(xié)議的設(shè)計(jì)者，有責(zé)任讓正確使用變得比錯(cuò)誤使用更容易，而不是反過(guò)來(lái)。

這場(chǎng)爭(zhēng)論的核心，其實(shí)是一個(gè)古老的工程哲學(xué)問(wèn)題：安全責(zé)任應(yīng)該在哪一層承擔(dān)？

微軟在Windows時(shí)代也經(jīng)歷過(guò)類似的撕裂：是操作系統(tǒng)層面做防御，還是讓應(yīng)用開發(fā)者自己負(fù)責(zé)？歷史證明，把安全完全推給下游開發(fā)者，結(jié)局往往是災(zāi)難性的。更何況Anthropic天天用安全的殺威棒左打OpenAI右打Google，儼然一個(gè)安全道德為道士的教主。

05. 為什么這件事比看起來(lái)嚴(yán)重得多

有人可能會(huì)想：又一個(gè)安全漏洞，互聯(lián)網(wǎng)上每天都有，有什么大驚小怪的？

這次不一樣。

不一樣的地方，在于這是基礎(chǔ)設(shè)施級(jí)別的漏洞，且在AI時(shí)代有獨(dú)特的放大效應(yīng)。他是帶著乘數(shù)，就是+了大buff的那種。

傳統(tǒng)軟件的漏洞，攻擊面相對(duì)固定。但MCP是AI Agent的“手和眼”，它的職責(zé)本來(lái)就是讓AI連接一切、控制一切。一個(gè)能在MCP層執(zhí)行任意命令的攻擊者，理論上可以讓AI成為他的代理人，讀取你的私密對(duì)話記錄、竊取API密鑰、操控?cái)?shù)據(jù)庫(kù)、甚至在你的機(jī)器上安裝更持久的后門... ...

更要命的是，攻擊向量可能極其隱蔽。提示詞注入（Prompt Injection）攻擊的研究已經(jīng)表明，你只需要在某個(gè)網(wǎng)頁(yè)、某個(gè)文檔、某段數(shù)據(jù)里藏一句惡意指令，當(dāng)AI去處理這些內(nèi)容時(shí)，它可能就會(huì)乖乖地把命令帶進(jìn)MCP執(zhí)行。用戶全程什么都不知道。

AI越來(lái)越自主，AI Agent運(yùn)行的權(quán)限越來(lái)越高，運(yùn)行的時(shí)間越來(lái)越長(zhǎng)。在這個(gè)背景下，供應(yīng)鏈安全和協(xié)議層安全必將是未來(lái)幾年里最核心的戰(zhàn)場(chǎng)之一。

恒意說(shuō)兩句：有些地方，快不得

Anthropic、OpenAI、Google，這些公司正在用前所未有的速度把AI推向生產(chǎn)環(huán)境、推向千萬(wàn)用戶的桌面。速度很重要，競(jìng)爭(zhēng)很激烈，這都可以理解。

但有些地方，快不得。

基礎(chǔ)協(xié)議的安全設(shè)計(jì)，是其中之一。

當(dāng)你說(shuō)“這是預(yù)期行為”的時(shí)候，你最好確認(rèn)，你真的想清楚了。否則，預(yù)期行為和災(zāi)難性漏洞之間，隔著的可能只是一次還沒發(fā)生的大規(guī)模攻擊。

在AI的世界里，地基的裂縫，會(huì)被無(wú)限放大。

我是晶恒，咱們下期見～

參考來(lái)源：OX Security研究報(bào)告（2026年4月）、VentureBeat、The Register、The Hacker News、SecurityWeek

本文僅作科普分享使用，歡迎小伙伴們點(diǎn)、收藏、關(guān)注，以備不時(shí)之需，當(dāng)然更歡迎您把 介紹給周邊可能需要的更多伙伴們呀。