安全公告
专注于 Model Context Protocol (MCP) 实现以及 AI 辅助开发工具的安全研究。
已发布的安全公告
-
MLflow 因缺少 Origin 校验导致的数据外泄与破坏(DNS 重绑定)
作者: Evan Harris 风险: 高(CVSS 8.1,CVE-2025-14279) 受影响组件: MLflow REST 服务器(mlflow/mlflow),版本直至 3.4.0(含)
-
MLflow 中通过 GenAI 评分器反序列化实现的远程代码执行
作者: Evan Harris 风险: 高 受影响组件: MLflow GenAI 评分器(mlflow/mlflow)
-
通过 SSE 模式对 AWS Labs 的 Amazon MQ Broker MCP 服务器进行未授权的 MQ Broker 控制
作者: Evan Harris 风险: 低 受影响组件: AWS Labs 的 Amazon MQ Broker MCP Server
-
Kluster 的 Verify MCP 服务器使用户面临额度耗尽风险
Kluster AI 的 verify-mcp 服务器信任任何能够访问其 /stream 端点的浏览器会话。
-
Neo4j MCP Cypher 服务器存在通过 DNS 重绑定接管数据库的漏洞
Neo4j MCP Cypher 服务器中的一个 DNS 重绑定漏洞允许远程攻击者对用户的数据库执行任意 Cypher 查询,从而可能导致数据窃取、数据篡改以及数据库被完全攻陷。
-
Vet MCP 服务器 SSE 传输的 DNS 重绑定漏洞
SafeDep Vet MCP 服务器存在 DNS 重绑定攻击漏洞,允许恶意网站绕过同源策略,并通过未经授权的 MCP 工具调用外泄扫描数据库内容。
-
Amp AI 智能体因提示注入允许 API 密钥外泄
Amp 的 CLI 及各扩展中的提示注入漏洞允许攻击者在未经用户同意的情况下,通过 DNS 查询外泄包括 API 密钥在内的环境变量。Amp 拒绝处理该问题,称其预期产品在可信工作区中使用。
-
Kilo Code AI 智能体因提示注入使用户面临供应链攻击
Kilo Code AI 智能体中的提示注入漏洞允许攻击者修改应用设置、将任意命令加入白名单,并在无需用户交互的情况下执行自动化供应链攻击。
-
Coder 的 Agent API 通过 DNS 重绑定攻击泄露用户聊天记录
Coder 的 Agent API 中的一处 DNS 重绑定漏洞允许远程攻击者外泄用户的整个本地消息记录,其中可能包含密钥和知识产权等敏感数据。
-
thirdweb MCP Server 导致的未授权加密货币交易
thirdweb MCP Server 暴露未经身份验证的 SSE 接口,使攻击者能够从受害者的钱包发起未授权的加密货币交易。
-
Grafana MCP Server 暴露未经身份验证的 SSE 接口,允许远程操纵仪表盘
Grafana MCP Server 暴露未经身份验证的 SSE 接口,使网络层面的攻击者能够操纵 Grafana 仪表盘并访问敏感数据。