Anthropic官方维护的Model Context Protocol（MCP）Git服务器（mcp-server-git）近期被披露存在三个高危安全漏洞，漏洞编号分别为CVE-2025-68143、CVE-2025-68144、CVE-2025-68145，攻击者可通过提示注入方式串联利用这些漏洞，实现跨路径文件访问、任意文件篡改删除甚至远程代码执行，无需直接接触目标系统即可完成攻击。作为连接大语言模型（LLM）与Git仓库的核心桥梁，mcp-server-git被广泛应用于Claude、Copilot、Cursor等主流AI开发工具，其默认部署版本存在的安全缺陷，不仅威胁单个开发者的代码仓库安全，更引发了整个AI开发链路的供应链安全警示，成为Agentic AI时代下工具链安全的典型风险案例。

漏洞核心详情：高风险缺陷直指输入校验与权限管控缺失

本次披露的三个漏洞均属于AI工具链中的经典安全缺陷，聚焦于路径验证、参数过滤两大核心环节，且均被评定为中高危级别，不同版本的CVSS v3/v4评分覆盖7.1至8.8区间，影响2025年12月18日之前的所有默认部署版本，具体漏洞细节与危害如下：

1. CVE-2025-68143：无校验路径遍历漏洞（CVSS v3:8.8/v4:6.5）
   该漏洞存在于git_init工具的仓库创建逻辑中，工具未对用户传入的文件系统路径做任何合法性验证，攻击者可借此在目标系统的任意目录（如/home/user/.ssh、/etc等敏感目录）初始化Git仓库，为后续读取敏感配置文件、篡改系统目录权限创造前提条件。该漏洞已在2025.9.25版本中完成修复，官方同步移除了存在设计缺陷的git_init工具。
2. CVE-2025-68144：未净化参数注入漏洞（CVSS v3:8.1/v4:6.4）
   git_diff和git_checkout核心函数将用户可控的输入参数直接传递给Git CLI命令行，未做任何参数过滤与净化处理，攻击者可通过注入特殊参数（如--output）实现任意文件的覆盖、删除，更可结合Git的clean/smudge过滤器配置，植入恶意shell命令触发代码执行，是实现攻击链闭环的关键漏洞。
3. CVE-2025-68145：路径验证绕过漏洞（CVSS v3:7.1/v4:6.3）
   服务器虽提供了--repository标志用于限制Git操作的仓库路径范围，但其底层缺少严格的路径合法性校验，攻击者可通过构造特殊路径绕过该限制，访问服务器上的任意Git仓库，包括私有仓库、系统内置仓库，直接导致仓库内的代码、配置、敏感数据泄露。

上述两个未修复漏洞均在2025.12.18版本中完成整改，官方通过增加多层路径验证、参数净化逻辑、移除高危工具等方式，从源头封堵了漏洞利用路径。

完整攻击链解析：提示注入串联多MCP组件，无接触实现远程代码执行

本次漏洞的最大风险点在于无需直接访问目标系统，攻击者仅需通过提示注入方式诱导AI工具调用mcp-server-git的相关功能，即可完成攻击，且可与Filesystem MCP服务器等其他组件串联，形成完整的远程代码执行攻击链。该攻击链由Cyata安全研究员Yarden Porat披露，其核心利用逻辑围绕Git仓库的配置与过滤器机制展开，具体步骤如下：

1. 前置准备：创建恶意仓库，利用CVE-2025-68143在目标系统的可写目录初始化Git仓库，突破仓库创建的路径限制；
2. 绕过限制：访问敏感仓库，借助CVE-2025-68145绕过--repository的路径限制，读取系统中任意仓库的内容，将敏感数据加载至LLM的上下文环境中；
3. 植入恶意配置，通过Filesystem MCP服务器向新建的恶意仓库中写入带有clean过滤器的.git/config配置文件，同时创建.gitattributes文件将该过滤器绑定至特定文件类型；
4. 构造恶意载荷，编写包含shell恶意代码的脚本文件，并存入上述绑定过滤器的文件目录中；
5. 触发执行：完成攻击，通过提示注入诱导AI工具调用git_add命令，该命令会触发clean过滤器执行，进而运行恶意脚本，最终实现远程代码执行；
6. 扩大危害，利用CVE-2025-68144的参数注入能力，篡改、删除系统关键文件，或进一步横向移动获取更高系统权限。

整个攻击过程中，AI工具成为攻击者的“提权工具”，而提示注入则成为攻击的“触发开关”，攻击者可通过恶意README文件、被篡改的代码问题描述、入侵的网页内容等多种载体植入诱导指令，隐蔽性极强，难以被人工发现。

漏洞背后的深层问题：Agentic AI时代的工具链安全新挑战

本次Anthropic MCP Git服务器的漏洞事件，并非单一的代码开发缺陷，而是暴露了Agentic AI（智能体AI）时代下，AI工具链与外部系统集成过程中的共性安全问题，也为整个AI生态的安全建设敲响了警钟。Cyata首席执行官兼联合创始人Shahar Tal指出，mcp-server-git作为开发者广泛复用的参考实现，其开箱即用的漏洞表明，整个MCP生态系统的安全边界存在严重缺失，而这类问题的核心根源主要有三点：

1. 组件孤立安全校验，忽视联动风险：单个MCP服务器在独立部署时可能满足基础安全要求，但当Git MCP服务器与Filesystem MCP服务器等组件联动时，安全缺陷会相互叠加，形成“有毒的组合”，而当前多数AI工具的安全设计均未考虑组件联动的风险；
2. AI工具的信任边界过度扩大：MCP协议的核心设计目标是让LLM能无缝访问外部系统（文件、数据库、Git仓库），但这也导致AI工具的信任边界被无限扩大，一旦某个环节存在安全缺陷，攻击者即可通过提示注入突破所有边界，而传统的访问控制机制（如Token验证）对AI工具的约束效果极其有限；
3. 经典安全缺陷在AI场景下被放大：本次披露的路径遍历、参数注入均是网络安全领域的经典缺陷，但其在AI工具链中被放大了危害——传统场景下这类缺陷仅影响单个系统，而在AI场景下，攻击者可通过AI工具的自动化能力，将危害扩散至整个开发链路，甚至引发供应链安全危机。

此外，提示注入作为AI时代的特有攻击方式，其防御难度远高于传统注入攻击，直接注入、间接注入等多种形式让攻击者可通过任意外部信息载体触发攻击，而当前多数AI工具仍未建立完善的提示注入检测与防御机制。

应急修复与长期防护策略：从版本升级到体系化安全建设

针对本次Anthropic MCP Git服务器的漏洞，官方已发布修复版本，且暂无公开信息表明漏洞已被野外利用，建议所有使用者立即采取应急措施封堵风险，同时结合Agentic AI的安全特性，建立长期的体系化防护策略，从源头降低工具链安全风险。

一、立即执行的应急修复措施

1. 强制版本升级：将mcp-server-git立即更新至2025.12.18及以上版本，该版本已修复CVE-2025-68144和CVE-2025-68145两个高危漏洞；若仍在使用2025.9.25之前的版本，需优先升级至该版本封堵CVE-2025-68143；
2. 移除高危工具依赖：暂停使用或直接移除git_init工具，该工具是CVE-2025-68143的核心载体，且官方已在修复版本中移除，无需保留该工具的使用依赖；
3. 限制服务器运行权限：禁止以root/管理员权限运行mcp-server-git进程，为其分配最小化的系统操作权限，即使漏洞被利用，也可大幅降低攻击者的危害范围；
4. 临时封禁外部提示输入：对使用的AI开发工具做临时配置，封禁从外部文档、网页、Issue等载体自动读取内容并触发工具调用的功能，阻断提示注入的攻击触发路径。

二、长期体系化的安全防护策略

1. 强化输入校验与边界防护：对所有AI工具链的组件做全链路的输入校验，包括路径合法性验证、参数过滤净化、特殊字符拦截，同时严格限制组件的操作范围，避免出现“无限制访问”的设计缺陷；
2. 建立组件联动的安全审计机制：针对MCP协议等多组件集成的场景，建立专门的联动安全审计机制，对组件之间的交互行为做实时监控，检测异常的跨组件操作、敏感目录访问、工具调用行为；
3. 构建提示注入的多层防御体系：结合语义分析、行为检测、内容过滤等技术，建立AI工具的提示注入防御体系，对外部输入的内容做恶意指令检测，同时限制LLM在执行工具调用前的上下文权限，避免单一提示注入触发高危操作；
4. 实施最小权限与单会话隔离：对AI工具的访问权限做精细化管控，采用“单会话单仓库”“单操作单权限”的策略，禁止AI工具拥有跨仓库、跨目录的全局访问权限，同时对Git、文件系统等核心组件的操作做二次确认；
5. 加强AI供应链的安全审查：对所使用的AI工具、MCP组件做全生命周期的安全审查，优先选择经过安全认证的官方版本，避免复用未做安全检测的第三方分叉版本，同时定期对组件进行漏洞扫描与更新；
6. 建立异常行为的监控与告警：对AI工具的Git操作、文件访问行为做实时监控，设置异常行为的告警阈值，如频繁的敏感目录访问、大量的文件修改/删除、非工作时间的工具调用等，及时发现并阻断可疑攻击行为。

行业前瞻：AI工具链安全将成为未来网络安全的核心赛道

本次Anthropic MCP Git服务器的漏洞事件，是Agentic AI快速普及过程中，工具链安全问题的一次集中爆发，也预示着AI工具链安全将成为未来网络安全的核心赛道。随着大语言模型与开发、办公、运维等场景的深度融合，AI工具将成为企业数字化建设的核心基础设施，而其与外部系统的无缝集成，必然会带来更大的攻击面，传统的网络安全防护体系已无法满足AI时代的安全需求。

未来，AI工具链的安全建设将围绕三大核心方向展开：一是协议层的安全重构，对MCP等AI通信协议做安全升级，融入细粒度的权限控制、身份认证、行为审计机制；二是AI原生的防御技术研发，针对提示注入、模型劫持等AI特有攻击方式，研发基于大语言模型的恶意行为检测、上下文安全隔离等原生防御技术；三是供应链的安全标准化，建立AI工具、组件的安全认证标准，推动厂商开展安全合规检测，从源头提升AI供应链的安全水平。

对于开发者和企业而言，需摒弃“AI工具即安全”的错误认知，将AI工具链的安全纳入整体的网络安全防护体系，在享受AI带来的效率提升的同时，守住安全底线。本次漏洞事件也提醒所有AI生态参与者，安全是AI技术落地的前提，唯有在技术创新的同时，同步做好安全建设，才能推动Agentic AI的健康、可持续发展。