20 万个 MCP 服务器暴露出命令执行漏洞，而 Anthropic 将其称为“功能”。

Anthropic 的模型上下文协议（MCP）已成为 AI 工具通信的广泛采用标准，但其默认的 STDIO 传输方式存在一个关键安全缺陷。该缺陷允许在不进行清理的情况下执行任意操作系统命令，从而导致命令注入漏洞。OX Security 的研究人员发现了这一问题，并识别出数千个易受攻击的服务器，同时在生产环境中实现了成功利用。该问题源于协议的设计，Anthropic 认为其默认是安全的，将输入清理的责任归于开发者。OX Security 和其他专家指出，这种方案造成了广泛的安全风险，许多 AI 框架和工具均存在漏洞。虽然部分供应商已实施补丁以解决特定入口点问题，但这些补丁并未修复底层协议问题。本文提供了识别易受攻击部署、修补产品及缓解风险的详细指南。文章强调，应将所有 MCP STDIO 配置视为不可信，并建议采用沙箱化、注册表审计及其他安全措施。最终，文章建议用户不应等待协议层面的修复，因为不安全默认状态依然存在。文章特别指出，开发者的环境存在漏洞，尤其是可能被恶意攻击者访问的集成开发环境（IDE）。