Anthropic MCP协议被曝架构级安全漏洞

内容摘要

安全研究团队OxSecurity发现Anthropic创建维护的MCP协议存在设计缺陷，可导致服务器被诱导执行任意代码(RCE)，已分配10个CVE编号且仍在增加。

核心要点

漏洞影响Python/TypeScript/Java/Rust所有支持语言；已在LiteLLM、LangChain、IBM LangFlow等主流项目发现漏洞；Anthropic拒绝修改架构，称预期设计。CVE编号持续增加，显示问题范围可能进一步扩大。

重要性说明

MCP正成为AI Agent互联互通的事实标准，其安全隐患将影响整个AI生态，可能导致企业AI系统被攻击。

PRO 决策建议

厂商：加速安全标准建设，推动MCP等协议的安全重构；
企业：立即排查基于MCP协议的AI系统安全风险；
投资者：关注AI安全赛道投资机会。