From MCP to shell: MCP auth flaws enable RCE in Claude Code, Gemini CLI and more
8 months ago
- #Remote Code Execution
- #OAuth Vulnerabilities
- #Cybersecurity
- 安全测试发现通过Claude Code和Gemini CLI等工具连接的MCP服务器存在漏洞,攻击者可远程控制用户计算机。
- 已演示的漏洞利用包括'计算器弹窗'(远程代码执行)及潜在恶意软件安装或反向shell植入。
- MCP的OAuth标准因客户端未验证恶意服务器提供的授权URL而引入安全风险。
- Cloudflare的use-mcp库被发现存在XSS漏洞,攻击者可通过服务器提供的URL执行任意JavaScript代码。
- Anthropic的MCP检查器被利用,通过stdio传输将XSS漏洞升级为远程代码执行(RCE)。
- Claude Code和Gemini CLI存在命令注入漏洞,允许在用户系统执行任意代码。
- ChatGPT开发者模式几乎遭遇同类攻击,但其内容安全策略(CSP)成功拦截。
- 行业应对措施包括URL净化、禁用shell命令、更新SDK以阻断危险URI方案等修复方案。
- 特别致谢Cloudflare、Anthropic和谷歌漏洞奖励计划(VRP)的快速补丁和漏洞赏金机制。
- 该事件凸显了纵深防御策略的重要性,以及AI生态系统大规模上游安全改进的积极意义。