網絡安全研究人員在人工智能公司Anthropic的Model Context Protocol（MCP，模型上下文協議）Inspector項目中發現了可導致遠程代碼執行（RCE）的高危漏洞，攻擊者可借此完全控制開發者主機。該漏洞編號為CVE-2025-49596，CVSS評分為9.4分（滿分10分）。

新型AI開發工具攻擊面

Oligo Security安全研究員Avi Lumelsky在上周發布的報告中指出："這是Anthropic MCP生態系統中首個重大RCE漏洞，暴露出針對AI開發工具的新型瀏覽器攻擊方式。攻擊者通過控制開發者機器，能夠竊取數據、安裝后門并在網絡內橫向移動，這對依賴MCP的AI團隊、開源項目和企業用戶構成嚴重威脅。"

MCP是Anthropic于2024年11月推出的開放協議，用于標準化大語言模型（LLM）應用與外部數據源及工具的集成方式。MCP Inspector作為開發者工具，主要用于測試和調試通過該協議暴露特定能力的MCP服務器，使AI系統能夠訪問訓練數據之外的信息。

默認配置存在重大隱患

該工具包含兩個組件：提供測試調試交互界面的客戶端，以及連接Web界面與不同MCP服務器的代理服務器。值得注意的是，由于該服務器具有生成本地進程的權限并能連接任意MCP服務器，本不應暴露于任何不可信網絡。

Oligo指出，開發者啟動本地工具版本時采用的默認配置存在"重大"安全風險——既無身份驗證也無加密措施，從而開辟了新的攻擊途徑。Lumelsky警告稱："這種錯誤配置形成了巨大的攻擊面，任何能訪問本地網絡或公共互聯網的人都有可能利用這些服務器。"

0.0.0.0漏洞組合攻擊鏈

攻擊者通過串聯現代瀏覽器中名為"0.0.0.0 Day"的已知安全缺陷與Inspector的跨站請求偽造（CSRF）漏洞（CVE-2025-49596），僅需誘使用戶訪問惡意網站即可在主機上執行任意代碼。

MCP Inspector開發團隊在漏洞公告中確認："0.14.1以下版本因客戶端與代理間缺乏身份驗證，允許未經認證的請求通過stdio接口發送MCP命令，從而導致遠程代碼執行風險。"

"0.0.0.0 Day"是存在19年的瀏覽器漏洞，惡意網站可利用瀏覽器無法安全處理0.0.0.0 IP地址的特性突破本地網絡防護。Lumelsky解釋稱："攻擊者構建的惡意網站會向MCP服務器上的本地服務發送請求，從而獲得在開發者機器上執行任意命令的能力。默認配置使MCP服務器暴露于此類攻擊，意味著許多開發者可能無意中為機器開啟了后門。"

漏洞修復與防護措施

概念驗證（PoC）利用服務器發送事件（SSE）端點，從攻擊者控制的網站發送惡意請求，即使工具僅監聽本地主機（127.0.0.1）也能實現RCE。這是因為0.0.0.0地址會令操作系統監聽機器所有IP地址（包括本地回環接口）。

典型攻擊場景中，攻擊者設立虛假網頁誘騙開發者訪問，頁面中的惡意JavaScript會向0.0.0.0:6277（代理默認端口）發送請求，指示MCP Inspector代理服務器執行任意命令。攻擊還可結合DNS重綁定技術，偽造指向0.0.0.0:6277或127.0.0.1:6277的DNS記錄以繞過安全控制。

項目維護者于2025年4月收到漏洞報告后，在6月13日發布的0.14.1版本中修復該問題，新增代理服務器會話令牌并加入來源驗證機制。Oligo表示："修復措施添加了原先缺失的授權驗證，并檢查HTTP中的Host和Origin頭部，確保客戶端來自可信域。現在服務器默認會阻止DNS重綁定和CSRF攻擊。"