Anthropic维护的Model Context Protocol (MCP)官方Git服务器mcp-server-git被发现存在三个安全漏洞。攻击者可通过提示注入Prompt Injection在特定条件下读取或删除任意文件甚至实现远程代码执行RCE。Cyata研究员Yarden Porat在报告中指出“这些漏洞可被提示注入利用。攻击者只需影响AI助手读取的内容如恶意README文件、被篡改的问题描述或被入侵的网页无需直接访问受害者系统即可武器化这些漏洞。”上图Model Context Protocol (MCP) 架构示意图展示AI模型如何通过MCP客户端与MCP服务器交互调用外部工具如Git仓库。mcp-server-git是一个Python软件包兼MCP服务器提供一组内置工具允许大型语言模型LLM以编程方式读取、搜索和操作Git仓库。该工具被广泛视为参考实现常被开发者复用。三个具体漏洞详情这些漏洞已在2025年6月负责任披露后通过以下版本修复CVE-2025-68143CVSS 8.8 [v3] / 6.5 [v4]git_init工具在创建仓库时未验证文件系统路径导致路径遍历漏洞。攻击者可将任意目录转为Git仓库。2025.9.25版本修复CVE-2025-68144CVSS 8.1 [v3] / 6.4 [v4]git_diff和git_checkout函数将用户控制的参数直接传递给Git CLI命令导致参数注入漏洞。攻击者可通过未净化输入覆盖或清空任意文件。2025.12.18版本修复CVE-2025-68145CVSS 7.1 [v3] / 6.3 [v4] 使用 --repository 标志限制操作到特定仓库路径时缺少路径验证导致另一处路径遍历漏洞。2025.12.18版本修复上图路径遍历Path Traversal攻击原理示意图展示攻击者如何通过 ../ 等方式绕过目录限制访问任意文件。攻击链与Filesystem MCP服务器结合实现RCECyata记录的攻击场景显示这三个漏洞可与Filesystem MCP服务器串联使用形成完整攻击链使用 git_init 在可写目录创建Git仓库。通过Filesystem MCP服务器写入带有clean过滤器的恶意 .git/config 文件。编写 .gitattributes 文件将过滤器应用于特定文件。编写包含恶意载荷的shell脚本。创建触发过滤器的文件。调用 git_add 执行clean过滤器从而运行恶意载荷。整个过程可通过间接提示注入触发AI助手读取恶意内容后自主调用相关Git工具最终实现远程代码执行。上图提示注入攻击在MCP/Git环境中的典型流程示意图展示恶意内容如何通过AI助手调用工具导致数据泄露或代码执行。修复措施与官方响应作为响应Anthropic已移除存在风险的 git_init 工具增加额外路径验证防止路径遍历原语。建议所有使用mcp-server-git的用户立即更新至2025.12.18或更高版本以获得最佳防护。Cyata首席执行官兼联合创始人Shahar Tal表示“这是标准的Git MCP服务器参考实现开发者预期会复用。如果安全边界在参考实现中都遭到破坏就表明整个MCP生态系统需要更深入的审查。这些不是边缘案例而是开箱即用的漏洞。”对MCP生态与Agentic AI的启示MCPModel Context Protocol旨在让AI Agent安全、标准化地访问外部工具和数据源但此次事件暴露了参考实现的安全隐患。当AI工具链如Git Filesystem MCP组合使用时单个组件的弱点可能被放大为系统性风险。企业与开发者建议立即更新所有MCP相关服务器至最新版本。对MCP工具实施严格的输入验证、路径沙箱和命令净化。采用零信任原则限制AI Agent的工具调用权限并监控异常Git操作。在生产环境中避免直接使用未经验证的参考实现优先进行安全审计。建立提示注入防御机制包括运行时语义分析和操作审计。