20萬臺AI服務器的“定時炸彈”：Anthropic說，這不是Bug，這是Feature

No.0291

Science Partner

Bring you to the side of science

導 讀

有時候，最危險的漏洞不是黑客寫的，而是工程師設計進去的。

走，跟伙伴君來！

今日主筆 | 晶恒

20萬臺AI服務器的“定時炸彈”：Anthropic說，這不是Bug，這是Feature

01. 事情是怎么鬧出來的

2026年4月，安全公司OX Security的幾個研究員，盯著Anthropic的MCP協議，盯了很久。

MCP是什么？全稱Model Context Protocol，翻譯過來叫模型上下文協議。你可以把它理解成AI世界的USB接口，它讓AI助手能夠連接外部工具、操控本地文件、查數據庫、跑代碼、調API。你在用Cursor寫代碼、用Claude幫你搜索本地文檔、讓AI Agent自動完成一系列任務，背后很可能都跑著MCP。

Anthropic在2024年發布了MCP，2025年12月把它捐給了Linux基金會。OpenAI跟進了，Google DeepMind也跟進了。這個協議，正在悄悄成為整個AI工具鏈的底層基礎設施。

然后，OX Security的研究員發現了一個問題。

說“問題”可能太輕了。準確地說，他們發現了一顆埋在這個基礎設施核心位置的地雷。

02. 漏洞的本質：一個設計上的“想當然”

理解這個漏洞，需要先知道MCP的一種核心傳輸方式，STDIO（標準輸入/輸出）。

STDIO是計算機界最古老、最底層的通信方式之一，就是進程之間通過“鍵盤輸入、屏幕輸出”的形式傳遞數據。MCP在設計上，允許AI Agent通過STDIO去啟動一個本地服務器進程，然后與這個進程通信，執行各種任務。

伙伴，問題就出在這里：

MCP的設計邏輯是，先把命令發出去執行，然后再握手驗證。OX Security把這個問題命名得很直白“Execute First, Validate Never“（先執行，從不驗證）。這意味著，如果某個下游實現存在不安全的輸入拼接，攻擊者構造的惡意輸入就會被系統老老實實地執行。技術術語叫RCE，遠程代碼執行。在安全界，這是漏洞金字塔里最頂端的一類。拿到RCE，基本等于拿到了這臺機器的鑰匙。

OX Security的研究員不是在實驗室里空想。他們在6個真實生產平臺上成功執行了任意命令，毒化了11個MCP應用市場中的9個，最終觸發了超過10個高危/嚴重CVE，其中9個被評為最高級別，即Critical（嚴重）。

受影響的項目名單，讀起來像一張AI開發工具的名人錄：LiteLLM、LangChain、LangFlow、Flowise、Cursor、GitHub Copilot……這些，是目前全球開發者日常使用頻率最高的AI工具。

規模呢？

超過7,000個公開暴露的服務器，潛在影響實例最高估計約20萬個，生態下載量已超過1.5億次。

03. 最刺激的部分來了

發現漏洞之后，正常的流程是負責任披露，要通知廠商，給他們時間修復，再公開。OX Security就是這么做的。

他們找到了Anthropic，詳細說明了問題，并建議在協議層面做架構修改，在命令執行之前加入輸入過濾和驗證機制。

然而，Anthropic的回答，讓他們愣了一下。

這是預期行為。（This is expected behavior.）

據OX Security轉述，Anthropic的立場是：STDIO本身的執行模型沒問題，是安全默認值。輸入過濾和驗證，是每個使用MCP的開發者自己的責任。Anthropic唯一做的，是更新了一下SECURITY.md文檔。這就相當于在地雷旁邊立了塊牌子，寫上“小心地雷喲”，然后繼續往前走。

協議本身？一行代碼沒改。

04. 這里有一場真正有意思的技術爭論

平心而論，Anthropic的邏輯并非完全站不住腳。

他們的工程師有一個技術論點：STDIO是本地子進程傳輸機制，信任邊界本來就在誰控制MCP配置文件這一層，如果你能改配置，本來就屬于可在該機器上執行命令的人。在協議層做輸入凈化，要么破壞傳輸機制本身，要么只是把攻擊面下移一層，換個思路照樣能繞過。

這個邏輯，在安全界有一定道理。深度防御（Defense in Depth）的原則本來就主張在每一層都做安全，而不是只靠某一道防線。

但OX Security的反駁同樣有力：

奧，合著您Anthropic設計了一個協議，20萬量級的開發者會用它。你要求所有人都正確地實現輸入過濾，一個都不能犯錯，這本身就是系統性風險。協議的設計者，有責任讓正確使用變得比錯誤使用更容易，而不是反過來。

這場爭論的核心，其實是一個古老的工程哲學問題：安全責任應該在哪一層承擔？

微軟在Windows時代也經歷過類似的撕裂：是操作系統層面做防御，還是讓應用開發者自己負責？歷史證明，把安全完全推給下游開發者，結局往往是災難性的。更何況Anthropic天天用安全的殺威棒左打OpenAI右打Google，儼然一個安全道德為道士的教主。

05. 為什么這件事比看起來嚴重得多

有人可能會想：又一個安全漏洞，互聯網上每天都有，有什么大驚小怪的？

這次不一樣。

不一樣的地方，在于這是基礎設施級別的漏洞，且在AI時代有獨特的放大效應。他是帶著乘數，就是+了大buff的那種。

傳統軟件的漏洞，攻擊面相對固定。但MCP是AI Agent的“手和眼”，它的職責本來就是讓AI連接一切、控制一切。一個能在MCP層執行任意命令的攻擊者，理論上可以讓AI成為他的代理人，讀取你的私密對話記錄、竊取API密鑰、操控數據庫、甚至在你的機器上安裝更持久的后門... ...

更要命的是，攻擊向量可能極其隱蔽。提示詞注入（Prompt Injection）攻擊的研究已經表明，你只需要在某個網頁、某個文檔、某段數據里藏一句惡意指令，當AI去處理這些內容時，它可能就會乖乖地把命令帶進MCP執行。用戶全程什么都不知道。

AI越來越自主，AI Agent運行的權限越來越高，運行的時間越來越長。在這個背景下，供應鏈安全和協議層安全必將是未來幾年里最核心的戰場之一。

恒意說兩句：有些地方，快不得

Anthropic、OpenAI、Google，這些公司正在用前所未有的速度把AI推向生產環境、推向千萬用戶的桌面。速度很重要，競爭很激烈，這都可以理解。

但有些地方，快不得。

基礎協議的安全設計，是其中之一。

當你說“這是預期行為”的時候，你最好確認，你真的想清楚了。否則，預期行為和災難性漏洞之間，隔著的可能只是一次還沒發生的大規模攻擊。

在AI的世界里，地基的裂縫，會被無限放大。

我是晶恒，咱們下期見～

參考來源：OX Security研究報告（2026年4月）、VentureBeat、The Register、The Hacker News、SecurityWeek

本文僅作科普分享使用，歡迎小伙伴們點、收藏、關注，以備不時之需，當然更歡迎您把 介紹給周邊可能需要的更多伙伴們呀。