AI 圈地震：MCP 设计缺陷影响超 20 万台服务器，波及 Cursor、Claude Code 等工具

IT之家 4 月 16 日消息，网络安全公司 OX Security 昨日（4 月 15 日）发布报告，披露 Anthropic 的 MCP（模型上下文协议）存在设计缺陷，可导致远程代码执行。该设计缺陷影响范围极广，导致超过 20 万台 AI 服务器面临远程代码执行风险。IT之家注：MCP 全称为 Model Context Protocol，是 Anthropic  公司于 2024 年 11 月推出的开源开放标准，让 AI 大模型无缝连接并操作各种外部数据和工具。本次披露的缺陷潜伏在 modelcontextprotocol SDK 的 STDIO 接口中，该接口本用于启动本地服务器进程，并将控制权移交 AI 模型，但底层执行逻辑会运行任何传入的 OS 命令，即使伪造服务器启动失败返回错误，命令仍会执行，全程无校验、无警告。OX Security 认为这不是代码笔误，而是架构层面的设计决策。漏洞波及 Anthropic 官方支持的全部 11 种语言：Python、TypeScript、Java、Kotlin、C#、Go、Ruby、Swift、PHP、Rust。任何基于 MCP 构建的开发者都会自动继承这一风险，OX Security 历时数月调查，识别出四种攻击家族，并在真实环境中完成验证。报告指出 LangFlow 平台有 915 个公开实例，攻击者无需账户即可获取会话令牌并推送恶意配置实现完整接管。Letta AI 平台遭中间人攻击，研究者拦截 " 测试连接 " 请求并替换载荷，直接在生产服务器执行任意命令。Flowise 虽尝试通过命令白名单和特殊字符过滤进行防护，但研究者借助 npx 的 -c 参数一步绕过，这证明当底层架构允许任意子进程执行时，临时输入过滤毫无意义。第四类攻击直指开发者终端。Windsurf IDE 漏洞最为严重：用户访问恶意网站后，无需任何点击即可在本地执行任意命令，该漏洞追踪编号为 CVE-2026-30615。Cursor、Claude Code、Gemini-CLI、GitHub Copilot 等 IDE 同样存在提示注入风险，但因需要至少一次用户交互，被 Anthropic 和微软归类为“设计预期”。Anthropic 于 2026 年 1 月 7 日收到通报后回应称属于预期行为，9 天后仅更新 SECURITY.md 文档提示谨慎使用 STDIO 适配器，未做任何架构改动。研究者向 11 个主流 MCP 市场上传恶意服务器概念验证，9 个直接接受且无安全审查，仅 GitHub 托管注册表拦截了提交。LiteLLM、DocsGPT、Flowise、Bisheng 已发布补丁，LangFlow、Agent Zero 等仍待修复，协议层根本漏洞持续开放。参考Anthropic's MCP Design Flaw Enables Remote Code Execution Across 200,000+ AI ServersAnthropic’s "By Design"   Failure at the Heart of the   AI Ecosystem广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。