文章总结： OXSecurity发现Flowise等AI框架因Anthropic的MCP协议架构缺陷存在严重RCE漏洞，攻击者可执行任意命令获取敏感数据。漏洞影响超过1.5亿次下载和20万实例，涉及LangChain等平台。建议立即更新补丁、限制MCP输入来源、在沙箱环境运行服务并监控外呼活动。 综合评分： 85 文章分类： 漏洞分析,供应链安全,解决方案,漏洞预警,云安全

Flowise 中的严重漏洞可通过 MCP 适配器实现远程命令执行

会杀毒的单反狗 会杀毒的单反狗

爱拍照的老李

2026年4月21日 09:10 湖北

在小说阅读器读本章

去阅读

导读

OX Security发现Flowise和多个AI框架中存在一个关键漏洞，使数百万用户面临远程代码执行（RCE）的风险。该漏洞源于Model Context Protocol（MCP），这是由Anthropic开发的用于AI代理的广泛使用的通信标准。

与典型的软件漏洞不同，该漏洞源自Anthropic官方MCP SDK中嵌入的架构设计决策，涵盖Python、TypeScript、Java和Rust。

任何基于MCP基础开发的开发者都会无意中继承这种风险，这意味着攻击面不仅限于单一平台，而是在整个AI供应链中产生连锁反应。

MCP核心的架构缺陷

该漏洞使攻击者能够在易受攻击的系统上执行任意命令，直接访问敏感用户数据、内部数据库、API密钥和聊天记录。

OX Security在研究期间成功在六个生产平台上执行了实时指令。Flowise，一个受欢迎的开源AI工作流程构建器，是受影响最严重的平台之一。

研究人员发现了针对Flowise的“加固绕过”攻击途径，表明即使是配置了额外保护的环境，仍可通过MCP适配器接口被利用。

更广泛的影响范围令人震惊：超过1.5亿次下载，超过7000台公开访问服务器，以及估计20万个易受攻击实例。

迄今至少发布了十条CVE，涵盖了包括LiteLLM、LangChain、GPT Researcher、Windsurf、DocsGPT和IBM的LangFlow等平台的关键漏洞。

OX Security 多次向 Anthropic 推荐根级补丁，以保护数百万下游用户。Anthropic拒绝了，称这种风险符合预期。当安全研究人员打算发表研究结果时，Anthropic并未提出异议。

研究人员建议立即采取行动：

• 阻止与敏感API或数据库相连的AI服务在公共互联网中暴露。
• 将所有外部MCP配置输入视为不可信，限制用户输入无法到达StdioServerParameters。
• 只需从官方GitHub MCP注册表等经过验证的来源安装MCP服务器。
• 在沙箱环境中以最小权限运行支持MCP的服务。
• 监控AI代理工具的调用，以防意外的外呼活动。
• 立即将所有受影响的服务更新为最新补丁版本。

新闻链接：

Critical Vulnerability In Flowise Allows Remote Command Execution Via MCP Adapters

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱拍照的老李 会杀毒的单反狗 会杀毒的单反狗《Flowise 中的严重漏洞可通过 MCP 适配器实现远程命令执行》