Anthropic закрывает важные уязвимости MCPGit: что нужно знать пользователям

Исследователи безопасности из Cyata обратили внимание на серьезную угрозу внутри инфраструктуры mcp-server-git Anthropic. Раскрытие указывает на уязвимости, которые могут представлять значительный риск для систем, использующих этот широко распространённый инструмент. Юичиро и другие разработчики, сосредоточенные на безопасности, отслеживают подобные схемы атак, подчеркивая необходимость понять, что пошло не так, и как сообщество должно реагировать.

Тройная угроза в архитектуре MCPGit

Anthropic’s mcp-server-git выявлен с тремя критическими уязвимостями безопасности (CVE-2025-68143, CVE-2025-68144, CVE-2025-68145), которые выходят за рамки обычных ошибок в коде. Эти уязвимости включают атаки путём обхода путей, техники внедрения параметров и, что наиболее важно, возможность удалённого выполнения кода на поражённых системах. Опасность обусловлена их эксплуатацией через инъекцию подсказок — злоумышленнику достаточно манипулировать AI-помощником, чтобы запустить цепочку атак.

От инъекции подсказок к компрометации системы

Особенность этой уязвимости в её доступности. Вместо необходимости прямого доступа к системе или сложных цепочек эксплуатации, злоумышленники могут использовать эти уязвимости, внедряя вредоносные инструкции в кажущиеся безобидными подсказки, подаваемые AI-системам, работающим с MCPGit. AI-помощник, не подозревая о злонамеренных намерениях, становится невольным носителем для несанкционированных операций с файлами и выполнения кода. Эта граница между легитимным взаимодействием с AI и эксплуатацией уязвимостей создаёт новую поверхность атаки в корпоративных средах, использующих рабочие процессы с поддержкой AI.

Реакция Anthropic

Команда разработчиков быстро отреагировала на эти риски, выпустив несколько обновлений безопасности в 2025 году. Стратегия устранения включала два основных шага: удаление уязвимого инструмента git_init, который служил точкой входа для атак, и усиление проверки путей файлов по всему коду. Эти исправления были не поверхностными патчами, а структурными изменениями, направленными на устранение фундаментальных слабых мест, позволявших эксплуатировать уязвимости.

Неотложные меры

Пользователям, использующим MCPGit, настоятельно рекомендуется немедленно обновиться до последних исправленных версий. Исправления, выпущенные в 2025 году, значительно снизили поверхность атаки, но только при своевременном внедрении. Организациям, использующим mcp-server-git в производственной среде, следует считать это обновление приоритетной задачей безопасности, учитывая низкий порог для эксплуатации и высокий потенциальный ущерб от несанкционированного доступа к файлам или выполнению кода в инфраструктуре разработки.