你用的AI编程工具,有个漏洞已知三个月,没人修-夜雨聆风

你用的AI编程工具,有个漏洞已知三个月,没人修

有个消息上周才出来，但我觉得用AI编程工具的人都应该知道。

以色列网络安全公司 OX Security 发了一份研究报告，指向一个东西：MCP。

你大概不陌生。Cursor、Claude Code、Windsurf、GitHub Copilot，背后接 MCP 工具的那层架构。

他们的结论是：MCP 协议有一个架构层面的设计缺陷，影响超过20万台服务器，3.2万个代码仓库。 攻击者可以通过这个漏洞，直接在你的机器上执行任意命令，窃取 API 密钥、数据库凭证、聊天记录。

这不是那种”需要特定条件才能触发”的小问题。Windsurf 最严重：你访问一个恶意网站，不需要点任何东西，命令就已经在你电脑上跑了。 这个漏洞已经拿到了正式编号 CVE-2026-30615。

更让人难受的是时间线。

OX Security 在今年1月7日就把漏洞报给了 Anthropic。9天后，Anthropic 的回复是：在 SECURITY.md 文档里加了一行说明，大意是”STDIO 适配器应谨慎使用”。

然后没了。

架构没动，代码没改。官方态度是：”这属于预期设计范畴。“

Cursor 说用户需要主动点击接受，属于正常设计。微软说不符合漏洞标准。谷歌说已知问题，暂无修复计划。Windsurf 没有回应。

你去向11个主流 MCP 市场上传概念验证的恶意 MCP 包，9个直接接受上架，连基本的安全审查都没有。

我在这里想说清楚漏洞怎么触发的，不是为了制造恐慌，是因为理解了原理，你才知道自己该注意什么。

问题出在 STDIO 接口。

MCP 通过这个接口启动本地服务器进程，然后把控制权交给 AI 模型。但底层逻辑会直接运行任何传入的系统命令——不校验是否真的是服务器启动命令，不弹警告，不要求确认。甚至即使进程启动失败返回了错误，命令也已经在后台悄悄执行完了。

最关键的是：这不只影响一个语言的 SDK。Python、TypeScript、Java、Kotlin、C#、Go、Ruby、Swift、PHP、Rust，Anthropic 官方支持的全部11种语言都共用同一套架构，全部继承了这个问题。

任何基于 Anthropic MCP 构建产品的开发者，自动继承了这个风险。

现在有几个攻击路径是研究团队已经验证过的：

第一种，提示词注入。你让 AI 帮你搜索或读取某个内容，AI 处理了一段带有攻击指令的文本，然后 AI 去修改了你本地的 MCP 配置文件，用户根本不知道。

第二种，恶意 MCP 包。你从集市里装了一个看起来正常的工具，实际上它在后台干别的。上面说了，9/11 的集市连审查都没有。

第三种，Windsurf 那个最极端的——访问网页直接中招，全程零交互。

OX Security 给了四条修复建议：协议层改成只执行预定义别名；SDK 层封锁 bash、powershell 等高风险命令；引入强制标志位让开发者显式声明危险操作；MCP 集市建立安全审查标准。

这四条都做到了，问题能解决八九成。

但现在没人做。

有意思的是，OX Security 做了30多次负责任披露，历时5个月，各大厂商一一回应，答案基本一致：这是设计决策，不是漏洞，安全责任在下游开发者。

换句话说，风险的转移就在那句”应谨慎使用”里——他们把决策风险丢给了每一个集成 MCP 的开发者，和每一个在用 Cursor、Claude Code 的程序员。

你可能问，那我现在该怎么做？

坦白说，没有完美的办法，因为问题在协议层，不在你能控制的地方。但有几件事值得注意：

只从可信来源安装 MCP 服务器，GitHub 是目前少数有安全审查的渠道之一。不用的 MCP 工具及时卸载或禁用。如果你在生产环境里跑 AI 编程工具，把对外的 MCP 服务暴露面降到最低。

AI 工具的速度确实快，但集成得越深，攻击面就越大。这不是说不要用，是说用的时候要知道自己在用什么。

参考来源：

标签： #AI安全 #MCP漏洞 #Cursor #ClaudeCode #程序员

👋 关注「赛博山海经」，每周实测AI工具，踩坑给你看。想收藏最全AI工具？回复「工具」获取导航页，觉得有用点个「在看」✨