Добавить в корзинуПозвонить
Найти в Дзене
DigiNews
1837 подписчиков

Anthropic тайно устранила уязвимости в своем Git MCP-сервере, которые позволяли выполнять произвольный код удаленно.

5 мин
Исследователи выявили и помогли устранить три критические уязвимости в Git MCP сервере Anthropic, которые позволяли удаленно выполнять код. Проблемы возникали при цепочке с другими MCP инструментами и эксплуатации уязвимостей, связанных с внедрением подсказок (prompt injection). Компания Anthropic устранила три уязвимости в своем официальном Git MCP сервере, которые, по мнению исследователей, могут быть скомбинированы с другими MCP инструментами для удаленного выполнения вредоносного кода или перезаписи файлов посредством внедрения подсказок (prompt injection). Git MCP сервер, mcp-server-git, связывает такие ИИ-инструменты, как Copilot, Claude и Cursor, с репозиториями Git и платформой GitHub, позволяя им читать репозитории и файлы кода, а также автоматизировать рабочие процессы, используя для этого взаимодействие на естественном языке. Стартап в области безопасности агентных ИИ Cyata обнаружил способ эксплуатации уязвимостей — ошибку обхода проверки пути (CVE-2025-68145), проблему с н
Оглавление

Исследователи выявили и помогли устранить три критические уязвимости в Git MCP сервере Anthropic, которые позволяли удаленно выполнять код. Проблемы возникали при цепочке с другими MCP инструментами и эксплуатации уязвимостей, связанных с внедрением подсказок (prompt injection).

Компания Anthropic устранила три уязвимости в своем официальном Git MCP сервере, которые, по мнению исследователей, могут быть скомбинированы с другими MCP инструментами для удаленного выполнения вредоносного кода или перезаписи файлов посредством внедрения подсказок (prompt injection).

Git MCP сервер, mcp-server-git, связывает такие ИИ-инструменты, как Copilot, Claude и Cursor, с репозиториями Git и платформой GitHub, позволяя им читать репозитории и файлы кода, а также автоматизировать рабочие процессы, используя для этого взаимодействие на естественном языке.

Стартап в области безопасности агентных ИИ Cyata обнаружил способ эксплуатации уязвимостей — ошибку обхода проверки пути (CVE-2025-68145), проблему с неограниченным git_init (CVE-2025-68143) и внедрение аргументов в git_diff (CVE-2025-68144) — и смог скомбинировать Git MCP сервер с Filesystem MCP сервером для достижения выполнения кода.

“Агентные системы ломаются непредсказуемым образом, когда взаимодействуют несколько компонентов. Каждый MCP сервер может казаться безопасным по отдельности, но если объединить два из них, в данном случае Git и Файловая система, вы получите токсичное сочетание”, — сообщил The Register исследователь безопасности Cyata Ярден Порат, добавив, что нет никаких свидетельств того, что злоумышленники эксплуатировали эти уязвимости в реальных условиях.

“По мере того как организации внедряют более сложные агентные системы с множеством инструментов и интеграций, количество таких комбинаций будет расти”, — отметил Порат.

Cyata сообщила о трех уязвимостях компании Anthropic в июне, а ИИ-компания устранила их в декабре. Ошибки затрагивают развертывания mcp-server-git по умолчанию до версии 2025.12.18, поэтому убедитесь, что вы используете обновленную версию.

The Register обратился к Anthropic по поводу этой истории, но компания не ответила на наши запросы.

В MCP нет безопасност(и)

В отчете, опубликованном во вторник и предоставленном The Register до публикации, Cyata заявляет, что проблемы возникают из-за способа подключения ИИ-систем к внешним источникам данных.

В 2024 году Anthropic представила Model Context Protocol (MCP) — открытый стандарт, который позволяет большим языковым моделям (LLM) взаимодействовать с этими другими системами — файловыми системами, базами данных, API, платформами обмена сообщениями и инструментами разработки, такими как Git. MCP серверы выступают в роли моста между моделью и внешними источниками, предоставляя ИИ доступ к необходимым данным или инструментам.

Как мы видели неоднократно за последний год, LLM могут быть манипулированы для выполнения действий, которые им не положено выполнять, посредством внедрения подсказок (prompt injection), что происходит, когда управляемый злоумышленником ввод заставляет ИИ-систему следовать непреднамеренным инструкциям. Это проблема, которая в ближайшее время никуда не денется — и, возможно, никогда не исчезнет.

Существует два типа: косвенный и прямой. Прямое внедрение подсказок происходит, когда кто-то напрямую вводит вредоносный ввод, тогда как косвенное внедрение происходит, когда контент содержит скрытые команды, которым ИИ следует, как если бы их ввел пользователь.

Эта атака использует три теперь уже устраненные уязвимости.

CVE-2025-68145: Флаг –repository должен ограничивать MCP сервер определенным путем к репозиторию. Однако сервер не проверял аргументы repo_path в последующих вызовах инструментов в пределах этого настроенного пути, тем самым позволяя злоумышленнику обойти границы безопасности и получить доступ к любому репозиторию в системе.

CVE-2025-68143: Инструмент git_init принимал произвольные пути файловой системы и создавал Git репозитории без какой-либо проверки, позволяя любому каталогу быть преобразованным в Git репозиторий и стать объектом для последующих операций git через MCP сервер. Для исправления этой проблемы Anthropic удалила инструмент git_init из сервера.

CVE-2025-68144: Функции git_diff и git_checkout передавали аргументы, контролируемые пользователем, напрямую библиотеке GitPython без какой-либо очистки. “Внедряя ‘–output=/path/to/file’ в поле ‘target’, злоумышленник мог перезаписать любой файл пустым diff”, и удалять файлы, пояснила Cyata в отчете.

Цепочка атак

Как Порат объяснил нам, атака использует косвенное внедрение подсказок: “Ваша IDE читает что-то вредоносное — файл README, веб-страницу, проблему на GitHub, куда злоумышленник внедрил инструкции”, — сказал он.

Уязвимости, в сочетании с Filesystem MCP сервером, злоупотребляют фильтрами smudge и clean в Git, которые выполняют команды оболочки, определенные в конфигурационных файлах репозитория, и позволяют удаленно выполнять код.

По словам Пората, это четырехэтапный процесс:

На высоком уровне:

  1. Создать Git репозиторий в записываемом каталоге с помощью git_init.
  2. Использовать Filesystem MCP сервер для записи bash-скрипта — это полезная нагрузка, которая будет выполнена.
  3. Использовать Filesystem MCP сервер для записи во внутренние конфигурационные файлы Git (.git/config и .gitattributes), настраивая фильтры “clean” и “smudge”. Это особенность Git, которая по сути означает: при выполнении определенных операций Git запускать этот скрипт.

Фильтры выглядят так:

[filter “myfilter”]

clean = sh exploit.sh

smudge = sh exploit.sh

  1. Когда срабатывает фильтр clean или smudge, запускается bash-скрипт — и злоумышленник получает выполнение кода.

Эта атака наглядно демонстрирует, как по мере внедрения большего числа ИИ-агентов в продакшн, безопасность должна не отставать.

“Командам по безопасности нельзя оценивать каждый MCP сервер в вакууме”, — сказал Порат. “Им необходимо оценивать эффективные разрешения всей агентной системы, понимать, какие инструменты могут быть объединены, и внедрять средства контроля. MCP расширяют возможности агентов, но они также увеличивают поверхность атаки. Доверие не должно предполагаться, оно должно проверяться и контролироваться”. ®

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Автор – Jessica Lyons

Оригинал статьи

Гаджеты и электроника
5,73 млн интересуются