Anthropic 更新于 2026-04-22

MCP协议埋了个设计级炸弹:11个CVE、1.5亿次下载全暴露,Anthropic说这是预期行为

不是普通的Bug

4月15日,安全公司OX Security发布了一份供应链安全报告,主角是Anthropic的MCP协议。

跟普通漏洞报告不同,这次的问题出在协议设计层面,不是某个包版本写错了什么。简单说:任何人在MCP的STDIO(标准输入/输出)传输层上构建应用,都可能不知不觉地继承了一个远程代码执行(RCE)漏洞。

影响规模:

  • 超过1.5亿次下载受影响
  • 约20万台服务器面临潜在风险
  • 11个CVE被分配,覆盖LiteLLM、Windsurf、Flowise、LangChain等主要工具
  • 研究人员在6个真实生产平台上确认了命令执行成功

攻击是怎么进来的

OX Security归纳了4种攻击路径:

路径一:直接注入
很多MCP平台允许用户通过JSON配置添加MCP服务器。攻击者直接在commandargs字段里注入恶意OS命令,绕过StdioServerParameters,直接当子进程跑起来。

路径二:绕过白名单
有些平台做了保护,限制命令只能是pythonnpmnpx。但研究人员发现了绕过方式:用npx -c <恶意命令>的形式,借助参数flag把白名单绕过去。

路径三:零点击提示注入
在Windsurf这类IDE里,AI助手可以在没有用户明确授权的情况下修改MCP的JSON配置文件。攻击者通过提示注入,让AI自动注册一个恶意STDIO服务器。

路径四:MCP注册表投毒
研究人员检测了11个主要的MCP server注册表,其中9个被成功投毒——即使是安全意识最强的开发者,也可能在安装”官方推荐”工具时中招。

受影响的都是谁

几乎覆盖了整个AI开发工具链:

  • 开发工具:Windsurf(CVE-2026-30615)、Claude Code、GitHub Copilot、Gemini-CLI、Cursor
  • AI框架:LangChain、FastMCP、browser-use
  • AI应用:LiteLLM(CVE-2026-30623)、Flowise(CVE-2026-40933)、DocsGPT(CVE-2026-26015)
  • 云基础设施:AWS Lambda MCP runners、NVIDIA NeMo Agent Toolkit

LiteLLM和Bisheng已经打了补丁。LangFlow、LangBot、Agent Zero等项目的修复状态还在跟进中。

Anthropic的回复:这是预期行为

研究人员拿到结论后,按照负责任披露流程通知了Anthropic,并提出了一个协议层面的修复方案——如果实施,能立即保护数百万下游用户

Anthropic的回复是:这个行为是**”预期行为”**,不会修复。

官方的说法是:MCP的STDIO transport应该在Docker等沙箱环境里运行,因此这个行为”不构成威胁”。

OX Security在报告里专门反驳了这一点:即便在沙箱里,攻击者一样可以利用它来:

  • 挖矿
  • 把服务器变成代理跳板
  • 白嫖算力资源

“这是MCP协议核心层面的系统性漏洞,而不是某个实现的Bug。”——OX Security研究报告

这份报告发布的时间点很有意思:就在同期,Anthropic正在大力推广Claude Mythos的网络安全能力,强调AI在漏洞挖掘上的突破性进展。一边说AI能帮你找漏洞,一边对自家协议的设计缺陷说”预期行为”——有些打脸。

为什么这事很严重

MCP协议的Python SDK每月下载量超过1.6亿次,已经成为AI工具接入的事实标准。问题在于:越成功,这个设计缺陷的影响面就越大。

每一个接入了STDIO传输层的MCP Server,每一个依赖LangChain或LiteLLM的AI应用,都站在这个漏洞的阴影下。Anthropic的”不修复”决定,等于把修复责任完全甩给了生态里的每一个下游开发者。

如果你在生产环境中跑了MCP服务,OX Security的建议是:

  • 检查你的MCP配置是否允许外部用户添加服务器
  • 把STDIO transport锁定在你信任的命令白名单范围内
  • 不要从没有验证来源的MCP注册表安装工具
  • 确认你的MCP Server运行在真正隔离的沙箱里

MCP是个好协议,但安全不是天上掉下来的。Anthropic选择不在协议层面解决这个问题,就意味着这个炸弹会继续埋在生态里,等着不知情的开发者踩到。

参考来源:MCP Supply Chain Advisory: RCE Vulnerabilities Across the AI Ecosystem(OX Security);Anthropic MCP Design Vulnerability Enables RCE, Threatening AI Supply Chain(The Hacker News);Systemic Flaw in MCP Protocol Could Expose 150 Million Downloads(Infosecurity Magazine);Critical Anthropic's MCP Vulnerability Enables Remote Code Execution Attacks(CybersecurityNews)