在MCP STDIO传输机制中发现了一个安全漏洞,该机制允许AI Agent连接到本地工具和服务。OX Security的研究表明,如果攻击者能够控制MCP启动的命令的输入,他们可能能够在主机上执行任意代码。这个问题源于命令在MCP服务器有效性得到确认之前就被执行的设计,通过直接命令注入、允许列表绕过和IDE提示注入创造了潜在的攻击面。 AI
影响 此漏洞凸显了AI Agent工具集成中的关键安全风险,可能影响AI驱动的本地开发工具的采用和信任。
排序理由 在特定的AI Agent传输机制中发现安全漏洞。
AI 生成摘要 · Google Gemini · 来自 1 个来源。 我们如何撰写摘要 →