事件经过
作为2026年6月30日Microsoft Security更新的一部分,Microsoft Defender现在可自动发现端点上25多种本地AI代理和MCP服务器类型。该功能添加了针对针对开发者编码代理(包括GitHub Copilot CLI和Claude Code)的提示注入攻击的运行时保护,将端点保护策略扩展到覆盖本地AI执行平面。
影响分析
本地AI代理和MCP服务器代表了开发者工作站上一个基本上未被监控的攻击面。Defender在运行时发现和保护这些内容的能力是首个覆盖这类威胁的主流EDR功能,直接对抗同周披露的提示注入和工具投毒攻击模式。
适用范围
任何部署了Defender for Endpoint且开发者使用AI编码代理(GitHub Copilot、Claude Code等)的企业;应立即进行评估并确保在Defender设置中启用代理发现功能。