事件经过
GitHub安全公告(CVSS 7.8)披露ForgeCode(一款AI编码代理CLI)盲目信任并自动执行存储库提供的.mcp.json文件中定义的MCP服务器命令,使任何在ForgeCode中打开存储库的开发者都会获得恶意存储库作者的代码执行。
影响分析
这是AI编码代理漏洞的一个反复出现的类别的一部分(也在Cursor和其他工具中看到),其中存储库提供的配置被视为可信代码;它将"克隆并打开项目"变成了针对使用AI编码代理的开发者的一键RCE向量,这是快速增长的人口。
攻击途径
ForgeCode自动加载并执行存储库.mcp.json文件中定义的MCP服务器,启动时无需用户确认。恶意存储库可以提供精心构造的.mcp.json,其mcpServers条目指定任意命令和参数,ForgeCode将在开发者在该工具中打开存储库时立即执行。
受影响系统
ForgeCode(tailcallhq/forgecode)——所有在无确认的情况下自动加载存储库.mcp.json的版本
缓解措施
披露时未引用官方补丁版本;解决方法是在打开任何不受信任的存储库之前查看ForgeCode中的.mcp.json,如支持则禁用存储库本地MCP配置的自动加载。