事件经过
Ruflo(用于Claude Code和Codex的代理元框架)默认docker-compose部署暴露了MCP桥接的POST /mcp和POST /mcp/:group端点而无任何认证。未认证的网络攻击者可以调用针对terminal_execute的工具/调用以在桥接容器内运行任意OS命令,从而能够盗取API密钥、污染代理学习存储(AgentDB)和横向网络移动。已在v3.16.3中修复,该版本默认将桥接绑定到127.0.0.1,要求公开绑定时需MCP_AUTH_TOKEN,添加带恒定时间比较的bearer认证,在MCP_ENABLE_TERMINAL=true后面关闭终端执行,使桥接文件系统只读,并要求MongoDB认证。
影响分析
这是一个最高严重性(CVSS 10.0)的零认证远程代码执行漏洞,存在于广泛引用的代理元框架中,该框架桥接两个最流行的编码代理生态系统(Claude Code、Codex/OpenAI)。默认部署配置将其公开暴露,意味着任何暴露的实例都可以通过平凡的方式被利用,导致完整容器compromise、凭证盗取和代理内存污染。
攻击途径
对暴露的/mcp或/mcp/:group MCP桥接端点发送未认证的POST请求,调用terminal_execute工具以运行任意OS命令
受影响系统
Ruflo(Claude Code/Codex的代理元框架) < 3.16.3
缓解措施
升级到Ruflo ≥3.16.3;将MCP桥接绑定到localhost;仅在必要时设置MCP_AUTH_TOKEN和MCP_ENABLE_TERMINAL;启用MongoDB认证