#Claude4被诱导窃取个人隐私##GitHub官方MCP泄露私有代码库#
被选为GitHub Copilot官方模型后,Claude 4直接被诱导出bug了!
一家瑞士网络安全公司发现,GitHub官方MCP服务器正在面临新型攻击——
通过在公共仓库的正常内容中隐藏恶意指令,可以诱导AI Agent自动将私有仓库的敏感数据泄露至公共仓库。【图1】
就是说,当用户使用集成了GitHub MCP的Claude 4 ,用户的私人敏感数据可能遭到泄露。【图2】
更可怕的是,GitLab Duo近期也曝出类似漏洞(由以色列安全服务商Legit Security披露),也是和提示注入及HTML注入相关,攻击者利用漏洞操控AI Agent,最终导致私有代码泄露。【图3】
瑞士的这家公司表示,这并非传统意义上的GitHub平台漏洞,而是AI Agent工作流的设计缺陷。
这也引发了人们关于MCP是否应该存在的讨论。【图4】
具体咋回事儿?下面详细展开:
Claude 4被诱导窃取个人隐私!GitHub官方MCP服务器安全漏洞曝光
被选为GitHub Copilot官方模型后,Claude 4直接被诱导出bug了!
一家瑞士网络安全公司发现,GitHub官方MCP服务器正在面临新型攻击——
通过在公共仓库的正常内容中隐藏恶意指令,可以诱导AI Agent自动将私有仓库的敏感数据泄露至公共仓库。【图1】
就是说,当用户使用集成了GitHub MCP的Claude 4 ,用户的私人敏感数据可能遭到泄露。【图2】
更可怕的是,GitLab Duo近期也曝出类似漏洞(由以色列安全服务商Legit Security披露),也是和提示注入及HTML注入相关,攻击者利用漏洞操控AI Agent,最终导致私有代码泄露。【图3】
瑞士的这家公司表示,这并非传统意义上的GitHub平台漏洞,而是AI Agent工作流的设计缺陷。
这也引发了人们关于MCP是否应该存在的讨论。【图4】
具体咋回事儿?下面详细展开:
Claude 4被诱导窃取个人隐私!GitHub官方MCP服务器安全漏洞曝光
