GitHub MCP Exploited: Accessing Private Repositories via MCP
a year ago
- #github
- #vulnerability
- #cybersecurity
- Invariant发现GitHub MCP集成存在严重漏洞,攻击者可通过恶意GitHub Issue劫持用户代理,导致私有仓库数据泄露
- 攻击方式涉及在公共仓库创建恶意issue,当代理与之交互时,会引发未授权访问并导致私有仓库数据外泄
- Invariant自动化安全扫描器将此归类为'毒性代理流'攻击——攻击者操纵代理执行非预期操作(如数据泄露或恶意代码执行)
- 该漏洞非特定于某个代理或MCP客户端,任何使用GitHub MCP服务器的代理均受影响,暴露出基础架构层面的设计缺陷
- 缓解措施包括实施细粒度权限控制,以及使用Invariant Guardrails和MCP-scan等工具进行持续安全监控
- 仅靠模型对齐无法防范此类攻击,凸显系统级安全措施的必要性
- Invariant为希望防护类似漏洞的组织提供其安全项目的早期接入权限