事件经过
Microsoft 于 2026 年 6 月 9 日作为补丁星期二的一部分披露了 CVE-2026-40376,在 VS Code 1.119.1 中修复。Visual Studio Code 模型上下文协议 (MCP) 服务器集成中的不当输入验证允许未认证的网络攻击者 — 需要用户交互 — 获得与 MCP 服务器托管身份相关联的权限。CVSS 3.1 基础评分为 7.5 (AV:N/AC:H/PR:N/UI:R)。Microsoft 评级利用可能性较低;在披露时未报告公开漏洞或野外利用。
影响分析
VS Code 是 AI 开发人员的主导 IDE,越来越多地用作开发人员、AI 编码代理 (GitHub Copilot、Claude Code 扩展、Cursor)、云身份和 MCP 工具服务器之间的中介。托管身份代表集中式影响范围 — 它授予对云资源 (Azure、GCP、AWS) 的访问权限,范围限定在 MCP 服务器,无需存储凭证。获得托管身份权限的攻击者可读取机密、调用云 AI 服务、访问向量数据库或渗透 AI 工作负载基础设施。这是世界上使用最广泛的 AI 开发环境中的直接 MCP 表面漏洞。
攻击途径
可网络访问的攻击,无需先前权限但需要用户交互;利用 MCP 服务器边界处的不当输入验证来冒充或继承分配给 MCP 服务器进程的托管身份
受影响系统
Microsoft Visual Studio Code < 1.119.1 (所有平台:Windows、macOS、Linux),配置了具有托管身份的 MCP 服务器集成时
缓解措施
将 VS Code 更新到 1.119.1 版本或更高版本。审计所有 MCP 服务器集成并审查托管身份范围分配 — 对 MCP 服务器身份应用最小权限原则。MSRC 公告:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40376