Anthropic MCP 协议架构漏洞波及 1.5 亿次下载,20 万台服务器面临 RCE 风险
OX Security 研究团队近日披露了一则震动 AI 安全领域的消息:Anthropic 主导的模型上下文协议(Model Context Protocol,MCP)存在架构级安全漏洞,攻击者可通过该漏洞实现远程代码执行(RCE),窃取敏感数据、API 密钥及聊天记录。

架构缺陷:所有语言 SDK 无一幸免
这次暴露的问题与传统代码 bug 有着本质区别。问题出在 MCP 官方 SDK 的基础设计决策上——Python、TypeScript、Java、Rust 四种语言的 SDK 全部采用相同的有缺陷架构。这意味着单靠某个语言的补丁无法根治问题,安全修复必须在协议层面进行。
攻击者利用这一架构缺陷可以实现完整的远程代码执行链,进而获取服务器控制权、读取环境变量中的 API 密钥、导出全部聊天历史。
影响范围:1.5 亿次下载,20 万台服务器
这组数字令人警醒。MCP 生态自推出以来累计下载量已突破 1.5 亿次,OX Security 估算有约 20 万台服务器直接暴露在 RCE 攻击面下。任何集成了 MCP 协议的 AI 应用——无论是企业内部工具还是面向用户的产品——都可能成为攻击入口。
实战验证:6 个平台沦陷,10+ CVE 产出
OX Security 并非纸上谈兵。研究团队在实际生产环境中对 6 个主流平台完成了漏洞利用验证,包括:
- LiteLLM — 已修复(CVE-2026-30623)
- Bisheng — 已修复(CVE-2026-33224)
- LangChain
- IBM LangFlow
- 以及另外两个平台
整个研究过程已产出至少 10 个 CVE 编号,充分说明了漏洞的普遍性和可利用性。
修补进展:几家欢喜几家愁
目前各下游项目的修复进度参差不齐:
| 项目 | 状态 | CVE |
|---|---|---|
| LiteLLM | ✅ 已修复 | CVE-2026-30623 |
| Bisheng | ✅ 已修复 | CVE-2026-33224 |
| GPT Researcher | ❌ 未修复 | — |
| Agent Zero | ❌ 未修复 | — |
| Windsurf | ❌ 未修复 | — |
| DocsGPT | ❌ 未修复 | — |
尚未修复的项目用户应当立即评估自身风险,考虑在补丁发布前禁用 MCP 相关功能。
Anthropic 的回应:争议加剧
事件中最引发争议的环节在于 Anthropic 的态度。OX Security 提出了一套协议级补丁方案,一旦采纳即可一次性保护所有下游 SDK 和集成方。Anthropic 拒绝了这一提议,声称相关行为属于"预期表现"。
换言之,Anthropic 认为当前架构允许攻击者通过 MCP 执行任意代码,是设计之初就接受的特性。
这一立场引发了安全社区的强烈不满。一个波及上亿下载量的协议,其设计者选择不修复已知的安全缺陷,这在软件安全史上极为罕见。
讽刺的时点
就在漏洞被披露的几天前,Anthropic 刚刚发布了 Claude Mythos——一款专注于代码安全审计的工具。一边对外展示安全能力,一边拒绝修复自家协议的架构级漏洞,这种反差很难让人不注意到。
对 AI 生态的警示
MCP 协议的定位是 AI 模型与外部工具之间的标准化通信层,正在成为 AI 应用生态的关键基础设施。基础设施级漏洞的影响范围呈指数级放大——一个 SDK 的设计缺陷可以波及成千上万的下游应用,而协议设计者的修复意愿直接决定了整个生态的安全水位。
对于开发团队而言,这意味着在采用任何 AI 协议标准时,不能仅关注功能实现,更要审视其安全模型是否健全。对于用户而言,理解自己使用的 AI 工具背后的协议架构,正在成为必要的安全素养。
- 鸿海 Q4 利润不及预期,给 AI 硬件热泼了一盆冷水3/16/2026
- 据路透:华虹旗下华力微电子拟量产 7 纳米,华虹或成中国第二家 7nm 代工厂3/16/2026
- OpenAI 发布 GPT-5.4 mini 与 nano:小模型加速冲刺3/17/2026
- 据报道,微软搁置 Windows 11 多项 Copilot 系统级整合计划3/16/2026
- 《华盛顿邮报》把 AI 用到订阅定价上,媒体的个性化收费又往前走了一步3/17/2026
- iOS 26.4 RC 发布:Apple Music 有 AI 歌单,Podcasts 支持视频3/18/2026
- Google 把 Stitch 升级成 AI 原生设计画布3/19/2026
- ChatGPT App 的模型切换入口,突然变得很难找3/17/2026
- Firefox 149 内置免费 VPN:50GB 月流量,首批限四国3/19/2026
- 椰树集团相关公司招标 50 台人形机器人剥椰子,产线开始提具体指标了3/19/2026
- 营收涨三倍,宇树科技冲刺科创板3/20/2026
- 谷歌 Gemini Mac 版内测:桌面端补课正式开始3/20/2026
- Kimi 员工指称 MiniMax 沿用其 Office Skill 代码始末3/19/2026
- OpenAI 收购 Astral:Python 工具链收编加速3/19/2026
- DLSS 5 引发的争议:老黄说批评者完全错误3/19/2026
- 小米三款大模型齐发:MiMo-V2-Pro、Omni、TTS 完整解读3/19/2026
- Hugging Face 最大开源仓库快被 AI 垃圾 PR 淹没了3/19/2026
- 欧盟推去衣AI禁令:3月26日表决,执法难在哪3/19/2026
- 小米推理模型 MiMo-V2-Pro 上线:智能指数 49,榜单排第 103/18/2026
- MiniMax 发布 M2.7:国内首个公开的模型自我进化方案3/18/2026
- 中国加大对 Meta 收购 Manus 审查:高管限制离境,审查升至国家层面3/18/2026
- 英伟达把 DLSS 5 说清楚了:输入只有 2D 帧和运动矢量3/21/2026
- Google 测试改写搜索结果网页标题,网站对标题的控制权又退了一步3/20/2026
- Claude Code 上线 Channels:用 Telegram 和 Discord 操控本地编程任务3/20/2026
- Google AI Studio 升级全栈 vibe coding:Antigravity 代理来了3/20/2026
- Anthropic 超 8 万用户调研:81% 认为 AI 正兑现预期3/19/2026
- 多地试点一人公司:免费公寓+办公空间,能否激活个体创新?3/19/2026
- 苹果警告:iOS 13/14 用户需立即升级至 iOS 153/20/2026
- 短视频内容标注,准备进入统一规则阶段3/21/2026
- 爱泼斯坦案幸存者起诉 Google:AI 搜索放大了数据泄露的伤害3/27/2026