Anthropic Git MCP服务器三个漏洞可致黑客篡改大语言模型

威胁攻击者可以利用提示注入攻击，恶意利用Anthropic官方Git MCP服务器中的三个漏洞，对AI系统造成严重破坏。

这一警告来自以色列Cyata研究机构，该机构敦促信息安全负责人确保使用官方git MCP服务器的企业开发人员尽快更新到最新版本。

风险在于攻击者可能运行未经授权的代码或篡改大语言模型，从而破坏其输出结果。

虽然官方Git MCP服务器可以单独被利用，"但毒性组合是当Git MCP服务器和文件系统MCP服务器同时启用时"，Cyata首席执行官Shahar Tal在采访中说道。"那时那个AI智能体就面临严重风险。我们敦促人们使用这两个应用程序的最新版本。"

使用mcp-server-git版本2025-12.18之前版本的开发人员面临风险。

三个漏洞分别是

CVE-2025-68143，不受限制的git_init。

CVE-2025-68145，路径验证绕过。

CVE-2025-68144，git_diff中的参数注入。

Cyata表示，与其他需要特定配置的MCP服务器漏洞不同，这些漏洞在Anthropic官方服务器的任何配置上都能开箱即用地工作。

模型上下文协议(MCP)是Anthropic在2024年推出的开放标准，为AI助手（如Claude Desktop、Cursor、Windsurf等）提供与外部工具和数据源（包括文件系统、数据库、API和Git等开发工具）交互的统一方式。

MCP服务器向AI暴露功能，充当大语言模型与外部系统之间的桥梁。

正如Cyata在其博客中指出的，MCP服务器基于大语言模型的决策执行操作。如果大语言模型可以通过提示注入被操控，威胁攻击者就可以影响AI的上下文，从而触发带有攻击者控制参数的MCP工具调用。

自Anthropic发布其模型以来，成千上万的供应商和第三方提供商已经发布了官方MCP服务器。也有非官方的服务器用于LinkedIn等在线平台。而且，正如预期的那样，也有来自不法分子的可疑MCP服务器在流传。

目前尚不清楚有多少企业开发人员使用由Anthropic维护的官方Git MCP服务器mcp-server-git，也不知道有多少人同时使用文件系统MCP服务器。

Cyata研究员Yarden Porat首先发现，如果在mcp-server-git中调用工具，服务器会使用给定的路径而不进行验证，因此攻击者可以创建包含恶意内容的新git存储库，这些内容可以被大语言模型读取。

第二个漏洞在于一个参数被直接传递给git命令行而没有进行清理。这意味着威胁攻击者可以注入任何git标志，包括可能覆盖目标文件的标志。第三，研究发现攻击者还可以删除文件。最后，研究人员发现攻击者可以使用git的smudge和clean过滤器来运行代码。

"你所需要知道的全部——这取决于你要攻击的智能体——就是如何让AI智能体读取你控制的内容，"Tal说道。"这是相当普遍的。这是一个非常广泛的攻击面。"

Cyata表示，防御行动不仅意味着将mcp-server-git更新到版本2025.12.18或更高版本，还要审核哪些MCP服务器同时运行。研究人员说，结合Git+文件系统会增加攻击面。

管理员还应该监控非存储库文件夹中意外出现的.git目录。

"一般来说，很难防范MCP服务器中的漏洞，"Tal说道。"大多数助手类型的智能体甚至不允许你清理参数。自制智能体可以包括各种提示注入防御，但没有一个是万无一失的。"

Cyata表示，它通过漏洞报告服务HackerOne在2025年6月24日向Anthropic报告了第一个问题。它被Anthropic标记为信息性的。在Cyata报告提示注入问题后，Anthropic重新审视了这个问题，但直到9月10日报告才被接受。Git MCP服务器的新版本于12月18日发布。

在采访中，Porat建议在发现漏洞和发布更安全的Git MCP服务器版本之间，信息安全负责人或开发人员没有太多可以做的事情。他说，即使在最安全的配置下，提示注入攻击也能在未修补的版本上工作。

"你需要围绕每个AI智能体设置防护栏，限制它能做什么、能接触什么，"Tal补充道。"如果发生事件，你还需要能够回查智能体所做的一切。"

SANS研究所研究院长Johannes Ullrich评论说，MCP服务器的问题在于它们让大语言模型能够访问并执行敏感功能。"这个问题有多严重取决于它们能访问的特定功能。但一旦配置了MCP服务器，大语言模型就会使用接收到的内容来行动和执行代码（在这种情况下，是在git中）。

"遗憾的是，这很可能不会是我们最后一次看到这个系统中的提示注入。对于提示注入没有简单的修复方法，通常你会创建权宜之计来防止特定的利用。对于这样的MCP服务器，最好的选择是限制它操作的数据，使其仅使用来自可信源的数据，以及它可以访问的功能。可以使用一些细粒度的访问控制来实现这一点。"

加拿大安全编码培训师Tanya Janca表示，为了缓解潜在问题，使用MCP的开发团队应该限制MCP服务器的访问和权限——没有root权限、只读访问、仅本地访问——并且只给用户他们需要的最少权限。管理员应该完全验证文件路径，而不仅仅是前缀匹配，正确解析符号链接，并始终执行仔细的输入验证并使用参数化查询。

Q&A

Q1：什么是MCP服务器？它在AI系统中的作用是什么？

A：模型上下文协议(MCP)是Anthropic在2024年推出的开放标准，为AI助手提供与外部工具和数据源交互的统一方式。MCP服务器向AI暴露功能，充当大语言模型与外部系统之间的桥梁，让AI能够访问文件系统、数据库、API和Git等开发工具。

Q2：Anthropic Git MCP服务器的三个漏洞分别是什么？

A：三个漏洞分别是CVE-2025-68143（不受限制的git_init）、CVE-2025-68145（路径验证绕过）和CVE-2025-68144（git_diff中的参数注入）。这些漏洞可以让攻击者创建恶意git存储库、注入git标志覆盖文件、删除文件，甚至运行恶意代码。

Q3：如何防范这些MCP服务器漏洞？

A：防御措施包括将mcp-server-git更新到版本2025.12.18或更高版本，审核同时运行的MCP服务器组合，限制MCP服务器的访问和权限（无root权限、只读访问），监控意外的.git目录，以及对AI智能体的操作设置防护栏和审计功能。