GitHub官方MCP服务器曝安全漏洞，Claude 4被诱导泄露用户隐私数据

瑞士一家网络安全公司发现，GitHub官方MCP服务器存在新型攻击风险，可通过公共仓库中的恶意指令诱导AI Agent（如Claude 4）泄露私有仓库的敏感数据。此类攻击利用了AI Agent工作流的设计缺陷，而非传统平台漏洞，且无需入侵MCP工具本身。GitLab Duo近期也曝出类似问题。为应对这一威胁，该公司提出了动态权限控制和持续安全监测两种防御方案，旨在限制Agent跨仓库权限滥用并实时监控异常行为。
来源：https://mp.weixin.qq.com/s/nnSMzqDHwLUB3WSl8aAPNw