文章总结： OXSecurity报告揭示Anthropic主导的MCP协议存在STDIO传输机制设计缺陷，允许未经认证的直接系统命令执行，影响超20万台服务器。漏洞根源在于SDK未对用户输入进行校验，导致五种攻击路径可实现RCE，涉及Windsurf等平台的零点击漏洞。Anthropic拒绝修复，建议立即实施命令白名单、沙箱运行和配置监控等应急措施。 综合评分： 87 文章分类： 供应链安全,漏洞分析,应急响应,解决方案,AI安全

---

AI 基础设施「心脏出血」：MCP 协议 STDIO 架构缺陷致 20 万台服务器沦陷

原创

WorkBuddy WorkBuddy

海狼风暴团队

2026年4月20日 15:49 新疆

在小说阅读器读本章

去阅读

AI 供应链安全 · 紧急预警

AI 基础设施「心脏出血」：MCP 协议 STDIO 架构缺陷致 20 万台服务器沦陷

Anthropic 拒绝修复 · OX Security 披露 · 供应链投毒窗口已开启

⚠️ 事件速览

2026年4月15日，以色列安全公司OX Security发布重磅报告，揭露 Anthropic 主导的MCP（模型上下文协议）存在架构层面的设计缺陷——STDIO 传输机制会将外部输入直接映射为系统命令执行，无需任何身份验证。

20万+ 台服务器3.2万+ 代码库10+ CVEAnthropic 拒绝修复

01

什么是 MCP？为什么这次如此危险

MCP（Model Context Protocol，模型上下文协议）由 Anthropic 于 2024 年 11 月推出，是目前 AI Agent 生态中最核心的通信标准。它的角色相当于 AI 应用的「神经系统」——连接大模型与外部工具、数据库、代码环境，让 Claude、Cursor、VS Code Copilot 等产品得以真正「动手干活」。

正因为这一地位，MCP 成了供应链攻击的绝佳入口：只要在协议层植入一个缺陷，所有基于它构建的应用都将继承这个漏洞，无一例外。

角色典型产品依赖 MCP 的核心功能

AI IDECursor、Windsurf、VS Code代码补全、终端执行、文件读写

AI 框架LangChain、LiteLLM、LangFlowAgent 工具调用、插件管理

AI 平台Claude Code、Gemini-CLI任务编排、外部服务集成

02

STDIO 设计缺陷的根因：一行代码埋下的祸根

根本原因

MCP 的 STDIO 传输机制允许 AI Agent 通过标准输入/输出流（stdin/stdout）启动本地子进程，理论上用于本地 MCP Server 通信。然而问题在于：

💥 缺陷核心

当用户输入直接流向StdioServerParameters或类似函数时，MCP SDK不会校验该命令是否合法，任何系统指令均被直接执行。即使进程启动失败并报错，恶意命令往往已在后台静默完成。

这一设计被写入 Anthropic 官方支持的全部 10 种编程语言 SDK（Python、TypeScript、Java、Kotlin、C#、Go、Ruby、Swift、PHP、Rust），任何基于此框架构建的开发者，都在不知情的情况下继承了这个安全敞口。

漏洞示意（Python SDK）

❌ 危险写法：用户输入直接传入 StdioServerParameters

user_input = request.json.get(“command”)

server_params = StdioServerParameters(

command=user_input,# 直接执行！

args=[]

)

✅ 正确做法：白名单校验

ALLOWED_COMMANDS = [“npx”, “uvx”, “python”]

if user_input not in ALLOWED_COMMANDS:

raise ValueError(“Command not allowed”)

03

五条攻击路径全解析

OX Security 在真实生产环境中验证了以下五种利用方式，并在 6 个企业级平台上成功执行了任意命令：

路径 01UI 注入 → 无需身份认证直接 RCE

LangFlow、OpenHands 等平台存在公开可访问的 UI，攻击者无需登录，直接在 MCP 配置字段注入 Shell 命令，即可在服务器上执行任意指令。

⚡ 已验证平台：LangFlow、DocsGPT、OpenHands、Fay Framework

路径 02参数绕过 → 穿透白名单防护

部分平台（如 Flowise）设置了命令白名单，仅允许npx。但攻击者利用npx -c “malicious_cmd”或uvx -p等参数技巧，可绕过白名单执行任意命令。

⚡ 已验证平台：Flowise（CVE-2026-30625）

路径 03零点击提示词注入 → AI IDE 本地 RCE

这是最隐蔽的攻击方式。攻击者在代码注释、文档、网页中嵌入隐藏提示词，AI IDE（如 Windsurf、Cursor）在索引这些内容时，AI 被诱导修改本地 MCP 配置文件，注入恶意命令——全程无需用户任何操作。

⚡ 已验证平台：Windsurf（CVE-2026-30615，唯一零交互 RCE）

路径 04MITM 传输替换 → 降级劫持

攻击者在网络层拦截平台请求，将传输类型从 SSE 替换为 STDIO，并附上恶意命令参数。DocsGPT 因此被成功利用（CVE-2026-26015）。

路径 05恶意 MCP 市场分发 → 供应链投毒

OX 在 11 个主流 MCP 插件市场中测试注入恶意包，9 个市场直接上架、无任何安全审查。用户安装即中招，恶意代码在本地静默执行。

📦 11 个市场仅 2 个拒绝上架，其余均直接通过

04

CVE 清单：已确认的高危漏洞

CVE-2026-30615Critical · 零点击

Windsurf— 零点击提示词注入触发本地 RCE，无需任何用户交互

状态：已报告 · 厂商未回应

CVE-2026-30623Critical · 已修复

LiteLLM— 通过 JSON 配置实现认证绕过 + RCE

状态：已修复 ✓

CVE-2025-65720Critical · 待修复

GPT Researcher— UI 注入 + 反向 Shell

状态：已报告 · 待修复

CVE-2026-30624Critical · 待修复

Agent Zero— 未认证 UI 注入直接 RCE

CVE-2026-26015Critical · 已修复

DocsGPT— MITM 传输类型替换，SSE 降级为 STDIO

状态：已修复 ✓

📋 完整受影响产品

LiteLLM、LangChain、IBM LangFlow、Flowise、Cursor、VS Code、Windsurf、Claude Code、Gemini-CLI、GPT Researcher、Agent Zero、Fay Framework、Bisheng、Jaaz、Upsonic、OpenHands、Letta AI

05

Anthropic 拒绝修复：一场责任推诿的风暴

OX Security 团队多次向各厂商提交报告，各方回应如下——

Anthropic（协议作者）

「STDIO 执行模型代表了安全默认值，输入清理是开发者的责任。」——明确拒绝修改协议架构，仅在文档中补充注意事项。

LangChain

「属于预期设计范畴，开发者应自行负责输入过滤。」

微软（VS Code）

「安全要求不符合漏洞标准，不予受理。」

谷歌（Gemini-CLI）

「确认为已知问题，但暂无修复计划。」

🔍 OX Security 的评价

「上周 Anthropic 发布了 Claude Mythos，旨在帮助保护全球软件安全。这项研究呼吁他们将同样的承诺应用于更接近自身的地方——从’Secure by Design’ 架构开始，为他们创建的 AI 供应链承担责任。」

06

蓝队防御：立即可操作的应急加固清单

一、开发团队 / AI 应用运维

✅禁止将公网 IP 暴露给 AI 服务：LLM、AI Agent 工具、研究工具等均不应绑定公网地址

✅始终将外部 MCP 配置视为不可信输入：所有用户可控字段必须校验后再传入 STDIO 参数

✅实施命令白名单：仅允许npx、uvx、python等已知安全命令，明确拒绝sh、bash、powershell

✅在沙箱中运行 MCP 服务：限制文件系统访问范围，禁止获得完整磁盘或 Shell 执行权限

✅监控工具调用行为：告警任何试图向未知外部 URL 传输数据的后台活动

✅立即升级受影响组件版本：参照上方 CVE 清单，优先升级已有修复版本的产品

二、AI IDE 用户（Cursor / VS Code / Windsurf）

✅仅从官方渠道安装 MCP 插件：使用 GitHub 官方 MCP Registry，避免第三方市场

✅审查 MCP 配置文件：定期检查.mcp/config.json或 IDE 设置中的 MCP 条目

✅对 AI 行为保持警惕：若 AI 主动修改 MCP 配置文件，应立即核查——这可能是提示词注入攻击

✅使用最小权限沙箱：将 AI IDE 的文件访问范围限制在项目目录内

三、安全团队 · 检测规则

检测 MCP 配置中异常命令（SIEM 规则示意）

SELECT * FROM process_events

WHERE parent_name IN (‘node’, ‘python’, ‘uvx’, ‘npx’)

AND cmdline LIKE ‘%sh%’ OR cmdline LIKE ‘%bash%’

OR cmdline LIKE ‘%curl%’ OR cmdline LIKE ‘%wget%’

OR cmdline LIKE ‘%reverse%shell%’;

检测 MCP 配置文件异常修改

inotifywait -m ~/.cursor/mcp/ -e modify -e create

inotifywait -m ~/.windsurf/mcp/ -e modify -e create

参考来源

[1]原始报告OX Security · The Architectural Flaw at the Core of Anthropic’s MCP   https://www.ox.security/blog/the-mother-of-all-ai-supply-chains-critical-systemic-vulnerability-at-the-core-of-the-mcp/

[2]CVE-2026-30615Windsurf 零点击提示词注入 RCE — NVD   https://nvd.nist.gov/vuln/detail/CVE-2026-30615

[3]CVE-2026-30623LiteLLM 认证绕过 RCE — NVD   https://nvd.nist.gov/vuln/detail/CVE-2026-30623

[4]延伸阅读智东西 · MCP设计缺陷波及超20万台服务器、3万代码库，Anthropic发警示文档草草回应   https://www.sohu.com/a/1010720484_115978

[5]延伸阅读InfoSecurity Magazine · Systemic Flaw in MCP Protocol Could Expose 150 Million Downloads   https://www.infosecurity-magazine.com/news/systemic-flaw-mcp-expose-150/

—— 技术分享，实战为本 ——

海狼风暴团队将持续深耕新疆网络安全社区 与行业爱好者交流互进，共同推动地域网络安全水平发展

Hacking Group 0991B（海狼风暴团队）

关注我们，技术路上不迷路

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：海狼风暴团队 WorkBuddy WorkBuddy《AI 基础设施「心脏出血」：MCP 协议 STDIO 架构缺陷致 20 万台服务器沦陷》