Claude 4被诱导窃取个人隐私！GitHub官方MCP服务器安全漏洞曝光

一水 发自 凹非寺 量子位 | 公众号 QbitAI 被选为GitHub Copilot官方模型后，Claude 4直接被诱导出bug了！ 一家瑞士网络安全公司发现，GitHub官方MCP服务器正在面临新型攻击—— 通过在公共仓库的正常内容中隐藏恶意指令，可以诱导AI Agent自动将私有仓库的敏感数据泄露至公共仓库。 就是说，当用户使用集成了GitHub MCP的Claude 4 ，用户的私人敏感数据可能遭到泄露。 更可怕的是，GitLab Duo近期也曝出类似漏洞 （由以色列安全服务商Legit Security披露） ，也是和提示注入及HTML注入相关，攻击者利 用漏洞操控AI Agent，最终导致私有代码泄露。 瑞士的这家公司表示，这并非传统意义上的GitHub平台漏洞，而是AI Agent工作流的设计缺陷。 这也引发了人们关于MCP是否应该存在的讨论。 | ScottSpadea 7 @ScottSpadea · 4h | | --- | | This is why people should roll their own versioning system, make their own | | ...