技术说明
OX Security研究人员发现,Model Context Protocol (MCP) 的STDIO传输——连接AI代理到本地工具的默认方法——会在不进行清理的情况下执行它接收到的任何操作系统命令。配置和命令之间不存在执行边界。恶意命令仅在命令已经执行后才返回错误。OX Security扫描了生态系统,发现7,000台公共IP服务器上有活跃的STDIO传输,推算总计约200,000个易受攻击的实例。研究团队在六个拥有付费客户的实时生产平台上确认了任意命令执行,并在LiteLLM、LangFlow、Flowise、Windsurf、Langchain-Chatchat、Bisheng、DocsGPT、GPT Researcher、Agent Zero、LettaAI等平台上产生了10多个高危或严重级别的CVE。
攻击途径
确定了四种利用方式:(1) 通过AI框架Web界面进行未经身份验证的命令注入(针对LangFlow和LiteLLM进行了演示);(2) 加固绕过,其中OX通过参数注入(npx -c)绕过了Flowise和Upsonic等工具中的命令白名单;(3) AI编码IDE中的零点击提示注入,恶意HTML修改本地MCP配置文件——Windsurf (CVE-2026-30615) 无需用户交互,而Cursor、Claude Code和Gemini-CLI需要用户批准但不会在UI中显示执行后果;(4) 通过MCP注册表进行恶意包分发,OX向11个注册表提交了一个良性概念验证,其中9个未经安全审查就接受了它。这种不安全性不是编码错误,而是Anthropic的MCP规范中的设计默认值,传播到了每个官方语言SDK(Python、TypeScript、Java、Rust)中。
受影响系统
所有使用默认STDIO传输的MCP部署。已确认的易受攻击产品包括:LiteLLM(已修补),LangFlow(部分修补),Flowise(加固被绕过),Windsurf(CVE-2026-30615已修补),Langchain-Chatchat,Bisheng,DocsGPT,GPT Researcher,Agent Zero,LettaAI,Upsonic,Cursor,Claude Code,Gemini-CLI,NextChat(ChatGPTNextWeb,CVE-2026-7644),以及至少7个额外的单作者GitHub MCP服务器。Anthropic确认该行为是设计使然并拒绝修改协议,将STDIO的执行模型描述为安全默认值,输入清理是开发者的责任。OX Security反驳说,期望200,000名开发者正确清理输入是系统性问题。关键差距:每个供应商补丁都修复了他们的产品,但没有补丁改变MCP协议的STDIO行为。今天修补LiteLLM并明天配置新MCP STDIO服务器的安全主管会继承相同的不安全默认值。
缓解措施
即时措施:将MCP STDIO视为特权执行表面,而不是连接器。应用默认拒绝策略,对特定命令进行白名单,部署沙箱控制,不要假设下游输入验证能大规模保持有效。对于IDE部署(Cursor、Claude Code、Gemini-CLI、Windsurf):验证您的供应商是否已修补提示注入到配置修改链;检查配置更改是否在用户批准前在UI中显示执行后果。对于AI框架部署(LiteLLM、LangFlow、Flowise等):立即应用供应商补丁,但要认识到补丁修复的是产品特定错误,而不是协议设计。进行MCP部署审计:识别环境中的所有STDIO传输,映射它们拥有的操作系统级别访问权限,应用最小权限和网络分段。长期措施:在可行的情况下考虑迁移到SSE(服务器发送事件)传输,尽管这并未得到普遍支持。如果您允许开发者安装社区服务器,请监控MCP注册表提交;11个注册表中有9个在未经安全审查的情况下接受了概念验证。