Navigation menu
他在6月1日报告说,官方的GitHub MCP服务器可以为大型语言模型提供许多新功能。这构成了快速注射攻击的三重威胁。访问私人数据,暴露于恶意说明和信息泄漏容量。瑞士网络安全公司不变实验室周四发布,它在Github的官方MCP服务器上发现了脆弱性,使攻击者可以在公共存储库中隐藏恶意说明,并过滤MCP用户的私人存储库机密数据,以AI的代理商对Claude 4。攻击的核心是恢复有关“用户正在处理的其他存储库”的信息。由于MCP服务器可以访问用户的私有存储库,因此LLM在处理问题后会创建一个新的PR。这将揭示参考私人河的名称。在不可变的测试的情况下,用户必须发布以下要求st to Claude激活信息的过滤:▲用户命令▲捕获完整的聊天屏幕,值得一提的是,如果将多个MCP服务器组合在一起(一个是恶意的标记,第三个过滤数据,第三个泄漏数据)会提出更高的风险。 GitHub MCP已将这三个元素集成到一个系统中。攻击机制详细说明了先前的调整。用户使用MCP客户端和Claude将GitHub帐户的用户链接到攻击公共存储库(作为公共用户/存储库)和私人存储库(例如私人用户/收藏库):攻击者造成了对公共问题的快速注入的恶意问题。用户在恢复公共存储库问题时,用户定期向Claude(例如,请参阅Pacman开源存储库中的主题)AI释放了Malleicious。在上下文中绘制私人存储库数据的AI使用公共存储库中的私人数据创建公共关系(初始NOTA:Atackers可以在数据中发布)测试结果:用户的私人存储库信息的过滤将通过私人项目“木星之星”,南美计划,私人项目“木星星”,其他感觉数据和其他感官数据成功过滤。漏洞来自AI的工作流程设计中的故障,而不是GitHub平台的传统漏洞。作为回应,该公司提出了两组国防解决方案。动态权限控制限制了对AI代理的访问。拦截异常数据通过持续的安全监控,实时行为分析和上下文策略流动。