近期,一家瑞士网络安全公司,发现了GitHub官方MCP服务器中有一个严重的安全漏洞,这个漏洞可以让黑客通过欺骗LLM代理的方式,去泄露MCP用户的私人信息。 例如一个用户同时拥有公共仓库和私有仓库,黑客不需要攻击GitHub系统,只需要在公共仓库中提交一个特制的Issue。Issue指在代码仓库中记录和跟踪问题、错误、任务或需求变更的数据记录。黑客只需在隐藏的提示中注入攻击语句。 当用户使用集成的GitHub MCP的AI Agent工具,并且询问类似“帮我看看`public-repo`的open issues”时,AI代理会调用GitHub MCP去抓取Issue列表,从而触发攻击命令,攻击语句会诱导Agent调用私有仓库内容,并将其泄露到公共仓库中。 这被认为是AI Agent工作流的设计缺陷。专家指出,GitHub无法单独通过在服务器端打补丁的方式解决这个漏洞,想解决这个问题,需要在Agent系统层面进行架构调整。 不知道这是否会影响到微软,毕竟这个漏洞很容易让人想到是一个后门。这对于美国的科技公司来讲,可能会带来不小的负面影响。
