技术说明
AgenticMail的@agenticmail/mcp包(0.9.27之前的版本)在使用--http或MCP_HTTP=1启动时在/mcp端点上暴露可流式HTTP传输。此端点接受所有MCP请求,而无需任何HTTP身份验证层,允许任何远程客户端读取任何电子邮件、代表任何用户发送电子邮件以及访问与AgenticMail帐户相关联的电话号码——无需凭证的完全帐户接管。
攻击途径
任何具有对/mcp HTTP端点的网络访问的远程客户端都可以发送未认证的MCP工具调用。这是MCP服务器中的未认证访问控制故障,为AI代理提供真实电子邮件地址和电话号码功能,使其成为高价值的侦察、网络钓鱼基础设施设置和大规模帐户接管的目标。
受影响系统
0.9.27版本之前的@agenticmail/mcp包。AgenticMail是一个为生产使用的AI代理分配真实电子邮件地址和电话号码的平台。
缓解措施
升级到@agenticmail/mcp版本0.9.27或更高版本。在修补之前,不要向任何可由不受信任方访问的网络段暴露/mcp HTTP端点。优先使用stdio传输模式而非HTTP模式。