首頁 > AI資訊 > 最新資訊 > Claude4被誘導竊取個人隱私!GitHub官方MCP服務器安全漏洞曝光

Claude4被誘導竊取個人隱私!GitHub官方MCP服務器安全漏洞曝光

新火種    2025-05-28

被選為GitHub Copilot官方模型后,Claude 4直接被誘導出bug了!

一家瑞士網絡安全公司發現,GitHub官方MCP服務器正在面臨新型攻擊——

通過在公共倉庫的正常內容中隱藏惡意指令,可以誘導AI Agent自動將私有倉庫的敏感數據泄露至公共倉庫。

Claude 4被誘導竊取個人隱私!GitHub官方MCP服務器安全漏洞曝光

就是說,當用戶使用集成了GitHub MCP的Claude 4 ,用戶的私人敏感數據可能遭到泄露。

Claude 4被誘導竊取個人隱私!GitHub官方MCP服務器安全漏洞曝光

更可怕的是,GitLab Duo近期也曝出類似漏洞(由以色列安全服務商Legit Security披露),也是和提示注入及HTML注入相關,攻擊者利用漏洞操控AI Agent,最終導致私有代碼泄露。

Claude 4被誘導竊取個人隱私!GitHub官方MCP服務器安全漏洞曝光

瑞士的這家公司表示,這并非傳統意義上的GitHub平臺漏洞,而是AI Agent工作流的設計缺陷。

這也引發了人們關于MCP是否應該存在的討論。

Claude 4被誘導竊取個人隱私!GitHub官方MCP服務器安全漏洞曝光

具體咋回事兒?下面詳細展開。

成功誘導Claude 4竊取私人信息

概括而言,觸發攻擊的前提條件包括:

用戶同時擁有公共倉庫和私有倉庫;用戶使用集成GitHub MCP的AI Agent工具(如Claude Desktop);攻擊者在公共倉庫創建含提示注入(Prompt Injection)的惡意Issue。

我們直接以一個案例來說明攻擊過程。

假設用戶創建了兩個存儲庫:

ukend0464/pacman:一個公共存儲庫,其中包含一個名為“Pacman”游戲的簡單實現;多個私有倉庫(含用戶個人敏感信息)。

攻擊者可以通過在公共存儲庫中注入“作者識別”的惡意Issue,來提示Agent泄露用戶GitHub賬戶的數據。

Claude 4被誘導竊取個人隱私!GitHub官方MCP服務器安全漏洞曝光

要觸發這一攻擊,只需要用戶向Claude 4 Opus發出以下請求:

Claude 4被誘導竊取個人隱私!GitHub官方MCP服務器安全漏洞曝光

Claude 4 Opus隨后使用GitHub MCP集成來執行這些指令。

Claude 4被誘導竊取個人隱私!GitHub官方MCP服務器安全漏洞曝光

通常而言,Claude桌面版默認要求用戶確認每一次工具調用。但實際情況是,許多用戶在使用Agent時往往會選擇“始終允許”這一方案,并且不再監控個別操作。

這也導致Agent直接有權限“翻遍”所有項目列表,并掉入前面設計的攻擊陷阱。

最終,用戶ukend0464的私人信息(包括全名、旅行計劃、薪水、私人存儲庫列表等),通通都泄漏到了pacman倉庫的拉取請求中。

由于該倉庫是公開的,這也意味著攻擊者可以自由訪問。

Claude 4被誘導竊取個人隱私!GitHub官方MCP服務器安全漏洞曝光

甚至,Agent在泄露數據后還邀功自己成功完成了“作者識別”這一任務。

Claude 4被誘導竊取個人隱私!GitHub官方MCP服務器安全漏洞曝光

發現該漏洞的公司表示,與之前發現的MCP工具中毒攻擊不同,這種漏洞并不需要MCP工具本身被入侵。

好消息:能治

針對這一新型攻擊,該公司目前也提出了一些初步緩解舉措。

按照他們的說法,?這不是GitHub MCP服務器代碼本身的缺陷?,而是一個必須在Agent系統層面解決的根本架構問題。

換言之,GitHub無法單獨通過在服務器端打補丁的方式解決此漏洞。

基于這一前提,他們提出了兩套防御方案:

其一,動態權限控制。這包括兩點:

實施單會話單倉庫策略;使用Invariant Guardrails等上下文感知的訪問控制系統。

具體而言,第一套方案的目標是限制Agent的訪問權限,使其只能與需要交互的倉庫進行交互,遵循最小權限原則。

傳統的基于token的權限機制雖然提供了一定程度的保護,但它們通常施加了嚴格的限制,可能會影響Agent的功能。

因此,他們提出了動態權限控制這一方案,在適應Agent工作流程的同時,強制執行安全邊界。

為了說明,他們還提供了一個使用Invariant Guardrails防止跨存儲庫信息泄露的例子。

其中,Agent在每個會話中只能處理一個存儲庫,從而防止信息在不同存儲庫之間泄露,同時在授權范圍內保持完整的功能。

Claude 4被誘導竊取個人隱私!GitHub官方MCP服務器安全漏洞曝光

其二,持續安全監測。這也包括兩點:

部署MCP-scan安全掃描器;建立工具調用審計追蹤機制。

該方案直接針對GitHub MCP漏洞的核心風險點(跨倉庫權限濫用),通過實時行為分析+上下文感知策略,可有效攔截Claude 4等Agent的異常數據流動。

更完整的漏洞分析報告可詳見博客。

博客:https://invariantlabs.ai/blog/mcp-github-vulnerability#mitigationshttps://www.legitsecurity.com/blog/remote-prompt-injection-in-gitlab-duo

相關推薦
免責聲明
本文所包含的觀點僅代表作者個人看法,不代表新火種的觀點。在新火種上獲取的所有信息均不應被視為投資建議。新火種對本文可能提及或鏈接的任何項目不表示認可。 交易和投資涉及高風險,讀者在采取與本文內容相關的任何行動之前,請務必進行充分的盡職調查。最終的決策應該基于您自己的獨立判斷。新火種不對因依賴本文觀點而產生的任何金錢損失負任何責任。

熱門文章