【安全资讯】Anthropic修复Git MCP服务器漏洞，防止AI工具链被用于远程代码执行

概要：

随着AI代理系统在生产环境中的广泛应用，其组件间的交互安全成为新的挑战。近日，Anthropic公司悄然修复了其官方Git MCP服务器中的三个关键漏洞。这些漏洞可被串联利用，通过提示注入攻击，导致远程代码执行或文件被覆盖，凸显了复杂AI系统中组合攻击面的安全风险。

主要内容：

安全初创公司Cyata的研究人员发现了Anthropic Git MCP服务器（mcp-server-git）中的三个漏洞：路径验证绕过漏洞（CVE-2025-68145）、无限制的git_init问题（CVE-2025-68143）以及git_diff中的参数注入漏洞（CVE-2025-68144）。该服务器用于连接Copilot、Claude等AI工具与Git仓库，实现自然语言交互下的代码读取与工作流自动化。

攻击的核心在于将这些漏洞与Filesystem MCP服务器串联。攻击者利用间接提示注入，例如在README文件或GitHub问题中植入恶意指令。当IDE读取这些内容时，攻击链即被触发。具体步骤包括：在可写目录创建Git仓库、写入bash脚本载荷、并配置Git的“clean”和“smudge”过滤器以在特定Git操作时执行该脚本。

此次事件暴露了AI代理系统安全的深层问题。每个独立的MCP服务器看似安全，但多个组件（如Git与文件系统服务器）结合后可能产生危险的“毒性组合”。安全团队需要评估整个代理系统的有效权限，理解工具间的可串联性，并实施相应控制。Anthropic已于2024年12月修复了这些漏洞，影响2025.12.18之前版本的默认部署。