Anthropic 公司 MCP 协议曝高危漏洞，开发者主机面临远程代码执行风险

网络安全研究人员在人工智能公司Anthropic的协议Model Context Protocol（MCP，模型上下文协议）Inspector项目中发现了可导致远程代码执行（RCE）的曝高高危漏洞，攻击者可借此完全控制开发者主机 。危漏该漏洞编号为CVE-2025-49596，洞开代码CVSS评分为9.4分（满分10分）。发者风险

新型AI开发工具攻击面

Oligo Security安全研究员Avi Lumelsky在上周发布的主机执行报告中指出 ："这是Anthropic MCP生态系统中首个重大RCE漏洞，暴露出针对AI开发工具的面临新型浏览器攻击方式。攻击者通过控制开发者机器
 ，远程能够窃取数据 、协议安装后门并在网络内横向移动
，曝高这对依赖MCP的香港云服务器危漏AI团队、开源项目和企业用户构成严重威胁。洞开代码"

MCP是发者风险Anthropic于2024年11月推出的开放协议 ，用于标准化大语言模型（LLM）应用与外部数据源及工具的主机执行集成方式。MCP Inspector作为开发者工具
，面临主要用于测试和调试通过该协议暴露特定能力的MCP服务器，使AI系统能够访问训练数据之外的信息。

默认配置存在重大隐患

该工具包含两个组件 ：提供测试调试交互界面的客户端 ，以及连接Web界面与不同MCP服务器的高防服务器代理服务器 。值得注意的是 ，由于该服务器具有生成本地进程的权限并能连接任意MCP服务器，本不应暴露于任何不可信网络
。

Oligo指出
，开发者启动本地工具版本时采用的默认配置存在"重大"安全风险——既无身份验证也无加密措施，从而开辟了新的攻击途径。Lumelsky警告称
："这种错误配置形成了巨大的攻击面，任何能访问本地网络或公共互联网的免费模板人都有可能利用这些服务器。"

0.0.0.0漏洞组合攻击链

攻击者通过串联现代浏览器中名为"0.0.0.0 Day"的已知安全缺陷与Inspector的跨站请求伪造（CSRF）漏洞（CVE-2025-49596） ，仅需诱使用户访问恶意网站即可在主机上执行任意代码。

MCP Inspector开发团队在漏洞公告中确认 ："0.14.1以下版本因客户端与代理间缺乏身份验证，允许未经认证的请求通过stdio接口发送MCP命令，从而导致远程代码执行风险 。"

"0.0.0.0 Day"是存在19年的浏览器漏洞，恶意网站可利用浏览器无法安全处理0.0.0.0 IP地址的特性突破本地网络防护 。Lumelsky解释称 ："攻击者构建的服务器租用恶意网站会向MCP服务器上的本地服务发送请求，从而获得在开发者机器上执行任意命令的能力。默认配置使MCP服务器暴露于此类攻击，意味着许多开发者可能无意中为机器开启了后门 。"

漏洞修复与防护措施

概念验证（PoC）利用服务器发送事件（SSE）端点
，从攻击者控制的网站发送恶意请求，即使工具仅监听本地主机（127.0.0.1）也能实现RCE。这是因为0.0.0.0地址会令操作系统监听机器所有IP地址（包括本地回环接口）
。

典型攻击场景中 ，攻击者设立虚假网页诱骗开发者访问，页面中的亿华云恶意JavaScript会向0.0.0.0:6277（代理默认端口）发送请求，指示MCP Inspector代理服务器执行任意命令 。攻击还可结合DNS重绑定技术，伪造指向0.0.0.0:6277或127.0.0.1:6277的DNS记录以绕过安全控制。

项目维护者于2025年4月收到漏洞报告后，在6月13日发布的0.14.1版本中修复该问题 ，新增代理服务器会话令牌并加入来源验证机制 。Oligo表示
："修复措施添加了原先缺失的授权验证，并检查HTTP中的Host和Origin头部 ，确保客户端来自可信域
 。现在服务器默认会阻止DNS重绑定和CSRF攻击 。建站模板"