JFrog发现MCP相关漏洞，凸显MCP生态系统安全加固的迫切需求

最新消息
发布日期：2025年7月11日
作者：Jenna Barron

本周早些时候，JFrog披露了CVE-2025-6514漏洞，这是一个存在于mcp-remote项目中的关键漏洞，可能允许攻击者“在mcp-remote启动与不受信任的MCP服务器的连接时，在运行mcp-remote的机器上触发任意操作系统命令执行”。

JFrog解释说，mcp-remote是一个项目，允许LLM主机与远程MCP服务器通信，即使它们原本仅支持与本地MCP服务器通信。

“虽然之前发布的研究已经证明了MCP客户端连接到恶意MCP服务器的风险，但这是首次在真实场景中，当连接到不受信任的远程MCP服务器时，在客户端操作系统上实现完全远程代码执行，”JFrog漏洞研究团队负责人Or Peles在博客文章中写道。

mcp-remote的主要维护者Glen Maddern迅速修复了该漏洞，因此任何使用mcp-remote的用户都应更新到0.1.16版本。

根据Peles的说法，这里的教训是MCP用户应仅连接到受信任的MCP服务器，并使用安全的连接方法（如HTTPS），因为未来可能会发现类似的漏洞。“否则，像CVE-2025-6514这样的漏洞很可能会在不断增长的MCP生态系统中劫持MCP客户端，”Peles说。

解决更广泛MCP生态系统中的安全问题

JFrog的发现并不是第一个与MCP相关的漏洞。其他最近的CVE包括CVE-2025-49596，详细描述了MCP Inspector易受远程代码执行攻击（已在版本0.14.1中修复）；CVE-2025-53355，详细描述了MCP Server Kubernetes中的命令注入漏洞（已在版本2.5.0中修复）；以及CVE-2025-53366，详细描述了MCP Python SDK中的验证错误，可能导致在处理畸形请求时出现未处理的异常（已在版本1.9.4中修复）。

根据MCP文档，MCP中最常见的攻击包括混淆代理问题、令牌传递和会话劫持。

秘密管理公司GitGuardian的安全研究员Gaetan Ferry表示：“我目前对该协议本身的感觉是，从安全角度来看，它还不够成熟。因此，即使协议本身在安全方面不成熟，你也不能指望生态系统在安全方面成熟。”

他预测，随着MCP采用率的增加，我们将继续看到更多的CVE出现，并指出目前大约每两周就会出现一个新的利用场景。

他表示，目前行业尚未就安全使用MCP的最佳实践达成共识，但一些建议已经开始出现。他最大的建议是在独特的信任边界中安装服务器。例如，一个安装仅用于处理敏感数据，另一个可以指定仅用于处理不受信任的数据。

尽管MCP缺乏安全性，但Ferry认为，如果你在使用时意识到自己在做什么，仍然可以安全地使用MCP。GitGuardian在内部使用MCP，但它有必须遵循的特定指南，并限制了他们可以使用的功能、服务器和数据类型。

他说，问题在于MCP非常年轻，采用速度很快，而且当你试图快速前进时，安全通常不是首先考虑的事情。现在我们已经过了不归点，许多人已经采用了它，所以现在我们需要将安全放在首位。

“这对行业来说将是一个挑战，但这是我们过去每次行业推出令人兴奋的新技术时已经面临的事情，”他说。“微服务和API在某个时候也是一种革命，我们看到了相同的模式，比如旧的攻击在新的环境中再次起作用，需要构建一个全新的安全环境。”