Anthropic MCP 协议架构漏洞波及 1.5 亿次下载，20 万台服务器面临 RCE 风险

OX Security 研究团队近日披露了一则震动 AI 安全领域的消息：Anthropic 主导的模型上下文协议（Model Context Protocol，MCP）存在架构级安全漏洞，攻击者可通过该漏洞实现远程代码执行（RCE），窃取敏感数据、API 密钥及聊天记录。

架构缺陷：所有语言 SDK 无一幸免

这次暴露的问题与传统代码 bug 有着本质区别。问题出在 MCP 官方 SDK 的基础设计决策上——Python、TypeScript、Java、Rust 四种语言的 SDK 全部采用相同的有缺陷架构。这意味着单靠某个语言的补丁无法根治问题，安全修复必须在协议层面进行。

攻击者利用这一架构缺陷可以实现完整的远程代码执行链，进而获取服务器控制权、读取环境变量中的 API 密钥、导出全部聊天历史。

影响范围：1.5 亿次下载，20 万台服务器

这组数字令人警醒。MCP 生态自推出以来累计下载量已突破 1.5 亿次，OX Security 估算有约 20 万台服务器直接暴露在 RCE 攻击面下。任何集成了 MCP 协议的 AI 应用——无论是企业内部工具还是面向用户的产品——都可能成为攻击入口。

实战验证：6 个平台沦陷，10+ CVE 产出

OX Security 并非纸上谈兵。研究团队在实际生产环境中对 6 个主流平台完成了漏洞利用验证，包括：

• LiteLLM — 已修复（CVE-2026-30623）
• Bisheng — 已修复（CVE-2026-33224）
• LangChain
• IBM LangFlow
• 以及另外两个平台

整个研究过程已产出至少 10 个 CVE 编号，充分说明了漏洞的普遍性和可利用性。

修补进展：几家欢喜几家愁

目前各下游项目的修复进度参差不齐：

尚未修复的项目用户应当立即评估自身风险，考虑在补丁发布前禁用 MCP 相关功能。

Anthropic 的回应：争议加剧

事件中最引发争议的环节在于 Anthropic 的态度。OX Security 提出了一套协议级补丁方案，一旦采纳即可一次性保护所有下游 SDK 和集成方。Anthropic 拒绝了这一提议，声称相关行为属于"预期表现"。

换言之，Anthropic 认为当前架构允许攻击者通过 MCP 执行任意代码，是设计之初就接受的特性。

这一立场引发了安全社区的强烈不满。一个波及上亿下载量的协议，其设计者选择不修复已知的安全缺陷，这在软件安全史上极为罕见。

讽刺的时点

就在漏洞被披露的几天前，Anthropic 刚刚发布了 Claude Mythos——一款专注于代码安全审计的工具。一边对外展示安全能力，一边拒绝修复自家协议的架构级漏洞，这种反差很难让人不注意到。

对 AI 生态的警示

MCP 协议的定位是 AI 模型与外部工具之间的标准化通信层，正在成为 AI 应用生态的关键基础设施。基础设施级漏洞的影响范围呈指数级放大——一个 SDK 的设计缺陷可以波及成千上万的下游应用，而协议设计者的修复意愿直接决定了整个生态的安全水位。

对于开发团队而言，这意味着在采用任何 AI 协议标准时，不能仅关注功能实现，更要审视其安全模型是否健全。对于用户而言，理解自己使用的 AI 工具背后的协议架构，正在成为必要的安全素养。

来源：OX Security 研究报告