GitHub MCP 漏洞曝光：攻擊者可借惡意議題訪問私有倉庫，誘導 Claude 4 泄露隱私

IT之家 6 月 1 日消息，GitHub 官方 MCP 服務器可賦予大語言模型多項新能力，包括讀取用戶有權訪問的倉庫議題、提交新拉取請求（PR）。這構成了提示注入攻擊的三重威脅：私有數據訪問權限、惡意指令暴露及信息滲出能力。

瑞士網絡安全公司 Invariant Labs 周四發文稱，他們發現 GitHub 官方 MCP 服務器存在漏洞，攻擊者可在公共倉庫中隱藏惡意指令，誘導 Claude 4 等 AI 智能體泄露 MCP 用戶的私有倉庫敏感數據。同時，類似漏洞也出現在 GitLab Duo 中。

攻擊核心在于獲取“用戶正在處理的其他倉庫”信息。由于 MCP 服務器擁有用戶私有倉庫訪問權限，LLM 處理該議題后將創建新 PR—— 而這就會暴露私有倉庫名稱。

在 Invariant 測試案例中，用戶僅需向 Claude 發出以下請求即可觸發信息泄露：

值得一提的是，若將多個 MCP 服務器組合（一個訪問私有數據、一個暴露惡意 Token、第三個泄露數據），將構成更大風險。而 GitHub MCP 現已將這三要素集成于單一系統。

攻擊機制詳解

前置條件：

• 用戶使用 Claude 等 MCP 客戶端，并綁定 GitHub 賬戶

• 用戶同時擁有公共倉庫（如 <用戶>/public-repo）與私有倉庫（如 < 用戶 >/private-repo）

攻擊流程：

• 攻擊者在公共倉庫創建含提示注入的惡意議題

• 用戶向 Claude 發送常規請求（如“查看 pacman 開源倉庫的議題”）

• AI 獲取公共倉庫議題時觸發惡意指令

• AI 將私有倉庫數據拉取至上下文環境

• AI 在公共倉庫創建含私有數據的 PR（IT之家注：攻擊者可公開訪問該數據）

實測結果：

• 成功滲出用戶 ukend0464 的私有倉庫信息

• 泄露內容包括私人項目“Jupiter Star”、移居南美計劃、薪資等敏感數據

該漏洞源于 AI 工作流設計缺陷，而非傳統 GitHub 平臺漏洞。作為應對，該公司提出兩套防御方案：動態權限控制，限制 AI 智能體訪問權限；持續安全監測，通過實時行為分析和上下文感知策略攔截異常數據流動。