Anthropic 公司 MCP 协议曝高危漏洞，开发者主机面临远程代码执行风险

网络安全研究人员在人工智能公司Anthropic的Model Context Protocol（MCP，模型上下文协议）Inspector项目中发现了可导致远程代码执行（RCE）的高危漏洞，攻击者可借此完全控制开发者主机。该漏洞编号为CVE-2025-49596，CVSS评分为9.4分（满分10分）。

新型AI开发工具攻击面

Oligo Security安全研究员Avi Lumelsky在上周发布的报告中指出："这是Anthropic MCP生态系统中首个重大RCE漏洞，暴露出针对AI开发工具的新型浏览器攻击方式。攻击者通过控制开发者机器，能够窃取数据、安装后门并在网络内横向移动，这对依赖MCP的AI团队、开源项目和企业用户构成严重威胁。"

MCP是Anthropic于2024年11月推出的开放协议，用于标准化大语言模型（LLM）应用与外部数据源及工具的集成方式。MCP Inspector作为开发者工具，主要用于测试和调试通过该协议暴露特定能力的MCP服务器，使AI系统能够访问训练数据之外的信息。

默认配置存在重大隐患

该工具包含两个组件：提供测试调试交互界面的客户端，以及连接Web界面与不同MCP服务器的代理服务器。值得注意的是，由于该服务器具有生成本地进程的权限并能连接任意MCP服务器，本不应暴露于任何不可信网络。

Oligo指出，开发者启动本地工具版本时采用的默认配置存在"重大"安全风险——既无身份验证也无加密措施，从而开辟了新的攻击途径。Lumelsky警告称："这种错误配置形成了巨大的攻击面，任何能访问本地网络或公共互联网的人都有可能利用这些服务器。"

0.0.0.0漏洞组合攻击链

攻击者通过串联现代浏览器中名为"0.0.0.0 Day"的已知安全缺陷与Inspector的跨站请求伪造（CSRF）漏洞（CVE-2025-49596），仅需诱使用户访问恶意网站即可在主机上执行任意代码。

MCP Inspector开发团队在漏洞公告中确认："0.14.1以下版本因客户端与代理间缺乏身份验证，允许未经认证的请求通过stdio接口发送MCP命令，从而导致远程代码执行风险。"

"0.0.0.0 Day"是存在19年的浏览器漏洞，恶意网站可利用浏览器无法安全处理0.0.0.0 IP地址的特性突破本地网络防护。Lumelsky解释称："攻击者构建的恶意网站会向MCP服务器上的本地服务发送请求，从而获得在开发者机器上执行任意命令的能力。默认配置使MCP服务器暴露于此类攻击，意味着许多开发者可能无意中为机器开启了后门。"

漏洞修复与防护措施

概念验证（PoC）利用服务器发送事件（SSE）端点，从攻击者控制的网站发送恶意请求，即使工具仅监听本地主机（127.0.0.1）也能实现RCE。这是因为0.0.0.0地址会令操作系统监听机器所有IP地址（包括本地回环接口）。

典型攻击场景中，攻击者设立虚假网页诱骗开发者访问，页面中的恶意JavaScript会向0.0.0.0:6277（代理默认端口）发送请求，指示MCP Inspector代理服务器执行任意命令。攻击还可结合DNS重绑定技术，伪造指向0.0.0.0:6277或127.0.0.1:6277的DNS记录以绕过安全控制。

项目维护者于2025年4月收到漏洞报告后，在6月13日发布的0.14.1版本中修复该问题，新增代理服务器会话令牌并加入来源验证机制。Oligo表示："修复措施添加了原先缺失的授权验证，并检查HTTP中的Host和Origin头部，确保客户端来自可信域。现在服务器默认会阻止DNS重绑定和CSRF攻击。"