;此次漏洞的核心成因就是,MCP通过STDIO执行配置命令时,不校验该命令是否用于启动服务器,任何系统指令均被直接运行。更危险的是,即便进程启动失败并报错,恶意命令往往也已在后台完成执行。 Anthropic MCP进程执行逻辑的核心漏洞代码片段(图源:OX Security)
bsp; 据OX此次披露的研究报告,其研究团队多次向Anthropic报告该漏洞并建议修复,Anthropic回应:“这属于预期设计范畴。” OX Security发布的《所有AI供应链之母:Anthropic在AI生态核心处的“设计性”安全失效》报告封面(图源:OX Security) &
当前文章:http://ukb.muruoshen.cn/z0tvw/k8h3rr.html
发布时间:04:31:31
