GitHub MCP服务器漏洞使攻击者可访问私有代码库

GitHub广泛使用的模型上下文协议（Model Context Protocol，MCP）服务器被发现存在严重安全漏洞，攻击者可通过恶意提示注入（prompt injection）手段获取私有代码库数据。该漏洞影响所有使用GitHub MCP集成的代理系统——这项在GitHub上获得超过14,000星标的高人气功能，现已成为攻击者针对代码代理和集成开发环境（IDE）的主要攻击目标。 

攻击者通过在公共代码库中创建包含隐藏提示注入载荷的恶意议题（issue），当用户使用AI代理审查代码库议题时，这些恶意提示会劫持代理行为，迫使其访问并泄露私有代码库中的敏感信息。这标志着攻击方法的根本性转变——它利用的是用户与AI代理之间的信任关系，而非传统的软件漏洞。

Invariantlabs研究团队在开展"有毒代理流"（toxic agent flows）自动化安全扫描时发现了该漏洞。这种新型攻击场景会使AI代理执行非预期操作（如数据外泄或恶意代码执行）。值得注意的是，即便是Claude 4 Opus等高对齐模型，仍可能被精心设计的提示注入所操控。

该漏洞的影响远超个体用户范围，可能波及所有采用AI开发工具的企业组织。随着软件行业加速拥抱代码代理和AI集成开发环境，这一发现警示我们：传统安全措施可能无法有效防御此类新型攻击。更令人担忧的是，攻击者无需直接入侵MCP工具本身，只需利用代理对外部数据源的固有信任即可实施攻击。