此篇文章深入探討了瑞士新創安全公司Invariant Labs揭露的一項嚴重資安漏洞,該漏洞影響到當前廣泛使用的人工智慧開發工具與GitHub平台整合的MCP(Model Context Protocol)伺服器。這項漏洞的存在,可能會讓駭客透過特製的GitHub Issue,成功引發人工智慧代理工具如Claude Desktop等的操作,進而將用戶的私有儲存庫資料洩漏到公開儲存庫,造成嚴重的資料外洩風險。
此漏洞的關鍵在於,當用戶授權人工智慧代理進行操作時,這些代理會自動執行指定的操作,如讀取儲存庫Issue或建立拉取請求等。攻擊者僅需在目標用戶的公開儲存庫中加入含有惡意提示詞的GitHub Issue,當用戶請求代理檢視該公開儲存庫的Issue時,代理可能會因為提示詞的操控,無意間在用戶的私有儲存庫中擷取敏感資料並將其外洩至公開儲存庫。
作者強調,該攻擊並不需要複雜的權限提升或伺服器漏洞,而是利用了MCP協定與代理授權的機制。儘管人工智慧代理設有用戶確認操作的安全設計,但部分用戶為了提高操作效率,可能會選擇預設授權,允許代理無人監督地執行多項行動,這樣便增加了被提示詞注入攻擊成功的機會。
此外,研究人員指出,這類攻擊漏洞並非源自MCP本身的程式碼缺陷或伺服器權限設置問題,而是生成式人工智慧代理工具與第三方平台整合時,未能妥善限制跨儲存庫和跨權限操作的結構性問題。即便是經過加強對齊與安全訓練的先進人工智慧模型,在實驗中也未能有效防範這類提示詞注入的複合攻擊。
對此,文章提出了幾項建議,呼籲組織與開發團隊在導入MCP等人工智慧代理技術時,應遵循權限最小化原則,僅開放代理存取必要的儲存庫範圍。由於該漏洞屬於架構設計層級的安全問題,目前並無官方修補方案,故研究人員建議加強使用額外的安全層或代理行為監控工具,以降低潛在風險。
這個漏洞暴露了人工智慧與第三方服務整合過程中潛在的安全漏洞,提醒開發者在未來的應用設計中,必須更加謹慎地處理跨儲存庫或跨權限操作,確保數據的安全性,防止類似風險的再次發生。
