近日，GitHub官方推出的MCP服務(wù)器為大語(yǔ)言模型增添了新功能，包括讀取用戶倉(cāng)庫(kù)議題和提交新拉取請(qǐng)求（PR）的能力。然而，這一創(chuàng)新卻潛藏著三重安全威脅：私有數(shù)據(jù)訪問(wèn)、惡意指令暴露以及信息泄露。

據(jù)瑞士網(wǎng)絡(luò)安全公司Invariant Labs發(fā)布的研究報(bào)告，他們發(fā)現(xiàn)GitHub官方的MCP服務(wù)器存在安全漏洞，攻擊者能夠在公共倉(cāng)庫(kù)中巧妙隱藏惡意指令。當(dāng)AI智能體如Claude 4處理這些公共倉(cāng)庫(kù)議題時(shí)，可能會(huì)不經(jīng)意間觸發(fā)這些指令，導(dǎo)致MCP用戶的私有倉(cāng)庫(kù)敏感數(shù)據(jù)被泄露。值得注意的是，類似的漏洞也存在于GitLab Duo中。

攻擊的核心在于獲取用戶正在處理的其他倉(cāng)庫(kù)信息。由于MCP服務(wù)器被授予了訪問(wèn)用戶私有倉(cāng)庫(kù)的權(quán)限，當(dāng)大語(yǔ)言模型處理相關(guān)議題并嘗試創(chuàng)建新PR時(shí)，私有倉(cāng)庫(kù)的名稱便有可能被暴露出來(lái)。

Invariant Labs的測(cè)試案例詳細(xì)揭示了這一攻擊過(guò)程。用戶只需向Claude發(fā)出一個(gè)看似無(wú)害的請(qǐng)求，如“查看pacman開(kāi)源倉(cāng)庫(kù)的議題”，就可能觸發(fā)信息泄露。當(dāng)AI智能體在處理公共倉(cāng)庫(kù)議題時(shí)，會(huì)意外觸發(fā)隱藏的惡意指令，進(jìn)而將私有倉(cāng)庫(kù)的數(shù)據(jù)拉入上下文環(huán)境，并在公共倉(cāng)庫(kù)中創(chuàng)建一個(gè)包含私有數(shù)據(jù)的PR，使得攻擊者能夠輕松訪問(wèn)這些敏感信息。

更為嚴(yán)重的是，如果將多個(gè)MCP服務(wù)器組合使用，一個(gè)用于訪問(wèn)私有數(shù)據(jù)，一個(gè)用于暴露惡意Token，另一個(gè)用于泄露數(shù)據(jù)，將構(gòu)成更為嚴(yán)峻的安全風(fēng)險(xiǎn)。而GitHub的MCP服務(wù)器目前已經(jīng)將這三要素集成在一個(gè)系統(tǒng)中，這無(wú)疑加劇了安全威脅。

在實(shí)際測(cè)試中，Invariant Labs成功滲出了用戶ukend0464的私有倉(cāng)庫(kù)信息，泄露的內(nèi)容包括私人項(xiàng)目“Jupiter Star”、移居南美計(jì)劃以及薪資等高度敏感的數(shù)據(jù)。這一漏洞源于AI工作流的設(shè)計(jì)缺陷，而非傳統(tǒng)GitHub平臺(tái)的安全漏洞。

為了應(yīng)對(duì)這一安全挑戰(zhàn)，Invariant Labs提出了兩套防御方案。首先，實(shí)施動(dòng)態(tài)權(quán)限控制，嚴(yán)格限制AI智能體的訪問(wèn)權(quán)限，確保它們只能訪問(wèn)必要的數(shù)據(jù)。其次，建立持續(xù)安全監(jiān)測(cè)系統(tǒng)，通過(guò)實(shí)時(shí)行為分析和上下文感知策略來(lái)攔截異常的數(shù)據(jù)流動(dòng)，從而及時(shí)發(fā)現(xiàn)并阻止?jié)撛诘陌踩{。