JFrog发现MCP相关漏洞，凸显MCP生态系统需加强安全关注

本周初，JFrog披露了CVE-2025-6514漏洞，这是mcp-remote项目中的一个严重漏洞，可能允许攻击者"在mcp-remote与不受信任的MCP服务器建立连接时，触发在运行mcp-remote的机器上执行任意操作系统命令"。

JFrog解释称，mcp-remote是一个让LLM主机能够与远程MCP服务器通信的项目，即使这些主机原本只支持与本地MCP服务器通信。

“虽然先前发布的研究已经证明了MCP客户端连接到恶意MCP服务器的风险，但这是首次在真实场景中，当连接到不受信任的远程MCP服务器时，在客户端操作系统上实现了完整的远程代码执行，“JFrog漏洞研究团队负责人Or Peles在博客文章中写道。

mcp-remote的主要维护者Glen Maddern迅速修复了这个漏洞，因此任何使用mcp-remote的用户都应该更新到0.1.16版本。

根据Peles的说法，这里的教训是MCP用户应该只连接到受信任的MCP服务器，并且应该使用HTTPS等安全连接方法，因为未来可能会发现类似的漏洞。“否则，像CVE-2025-6514这样的漏洞很可能会在不断增长的MCP生态系统中劫持MCP客户端，“Peles说。

解决更广泛MCP生态系统中的安全问题

JFrog的发现并不是第一个与MCP相关的漏洞。最近的其他CVE包括：CVE-2025-49596，详细说明了MCP Inspector存在远程代码执行漏洞（在0.14.1版本中修复）；CVE-2025-53355，详细说明了MCP Server Kubernetes中的命令注入漏洞（在2.5.0版本中修复）；以及CVE-2025-53366，详细说明了MCP Python SDK中的验证错误，可能导致在处理畸形请求时出现未处理的异常（在1.9.4版本中修复）。

根据MCP文档，MCP中最常见的攻击包括混淆代理问题、令牌传递和会话劫持。

秘密管理公司GitGuardian的安全研究员Gaetan Ferry表示：“我目前对这个协议本身的感觉是，从安全角度来看，它还不够成熟。因此，即使协议本身在安全方面不成熟，你也不能真正期望生态系统在安全方面成熟。”

他预测，随着MCP采用率的增加，我们将继续看到更多的CVE出现，并指出目前大约每两周就会出现一个新的利用场景。

他表示，目前行业尚未就安全使用MCP的最佳实践达成共识，但一些建议已经开始出现。他最大的建议是在独特的信任边界中安装服务器。例如，一个安装仅用于处理敏感数据，另一个可以指定仅用于处理不受信任的数据。

尽管MCP缺乏安全性，但Ferry认为，如果你在使用时意识到自己在做什么，仍然可以安全地使用MCP。GitGuardian在内部使用MCP，但它有必须遵循的特定指南，并限制了他们可以使用的功能、服务器和数据类型。

他说，问题在于MCP还很年轻，采用速度很快，而且当你试图快速前进时，安全通常不是首先考虑的事情。现在我们已经过了不归点，已经有这么多人采用了它，所以现在我们需要将安全放在首位向前推进。

“这对行业来说将是一个挑战，但这是我们过去每次行业推出令人兴奋的新技术时已经面对过的事情，“他说。“微服务和API在某个时候也是一种革命，我们看到了相同的模式，比如旧的攻击开始在新环境中再次起作用，需要构建一个全新的安全环境。”