实体
OSV.dev
OSV.dev
PulseAugur coverage of OSV.dev — every cluster mentioning OSV.dev across labs, papers, and developer communities, ranked by signal.
总计 · 30天
0
90 天内 2
发布 · 30天
0
90 天内 0
论文 · 30天
0
90 天内 0
层级分布 · 90 天
主题
最近 · 第 1/1 页 · 共 2 条
-
MCP 依赖项扫描会错过更深层程序包中的关键漏洞
一项安全分析显示,标准的依赖项扫描工具可能会错过 Model Context Protocol (MCP) 服务器中的关键漏洞。这些工具通常只检查顶层程序包清单,未能检测到更深层已安装依赖项(如 `@modelcontextprotocol/[email protected]`)中的问题。即使扫描报告零问题,这种疏忽也可能导致存在多个高危漏洞,包括 ReDoS 和 DNS 重新绑定漏洞。
-
MCP 包存在隐藏的漏洞和恶意注册风险
对 npm 和 PyPI 上的 31 个 MCP 服务器包进行的安全性审计显示存在严重漏洞,其中 11 个包在其安装的依赖项树中总共包含 54 个独特的漏洞。这凸显了一个关键缺陷,即直接的包检查不足够,因为恶意代码或过时的依赖项可能隐藏在更广泛的安装树中。由于其分散的性质、缺乏中央注册机构以及严重依赖 AI 生成的推荐(这些推荐可能无意中建议了受损的包),MCP 生态系统特别容易受到恶意注册和供应链攻击的影响。