GitHub MCP 漏洞曝光：攻擊者可借惡意議題訪問私有倉庫，誘導(dǎo) Claude 4 泄露隱私

IT之家 6 月 1 日消息，GitHub 官方 MCP 服務(wù)器可賦予大語言模型多項(xiàng)新能力，包括讀取用戶有權(quán)訪問的倉庫議題、提交新拉取請(qǐng)求（PR）。這構(gòu)成了提示注入攻擊的三重威脅：私有數(shù)據(jù)訪問權(quán)限、惡意指令暴露及信息滲出能力。

瑞士網(wǎng)絡(luò)安全公司 Invariant Labs 周四發(fā)文稱，他們發(fā)現(xiàn) GitHub 官方 MCP 服務(wù)器存在漏洞，攻擊者可在公共倉庫中隱藏惡意指令，誘導(dǎo) Claude 4 等 AI 智能體泄露 MCP 用戶的私有倉庫敏感數(shù)據(jù)。同時(shí)，類似漏洞也出現(xiàn)在 GitLab Duo 中。

攻擊核心在于獲取“用戶正在處理的其他倉庫”信息。由于 MCP 服務(wù)器擁有用戶私有倉庫訪問權(quán)限，LLM 處理該議題后將創(chuàng)建新 PR—— 而這就會(huì)暴露私有倉庫名稱。

在 Invariant 測(cè)試案例中，用戶僅需向 Claude 發(fā)出以下請(qǐng)求即可觸發(fā)信息泄露：

值得一提的是，若將多個(gè) MCP 服務(wù)器組合（一個(gè)訪問私有數(shù)據(jù)、一個(gè)暴露惡意 Token、第三個(gè)泄露數(shù)據(jù)），將構(gòu)成更大風(fēng)險(xiǎn)。而 GitHub MCP 現(xiàn)已將這三要素集成于單一系統(tǒng)。

攻擊機(jī)制詳解

前置條件：

• 用戶使用 Claude 等 MCP 客戶端，并綁定 GitHub 賬戶

• 用戶同時(shí)擁有公共倉庫（如 <用戶>/public-repo）與私有倉庫（如 < 用戶 >/private-repo）

攻擊流程：

• 攻擊者在公共倉庫創(chuàng)建含提示注入的惡意議題

• 用戶向 Claude 發(fā)送常規(guī)請(qǐng)求（如“查看 pacman 開源倉庫的議題”）

• AI 獲取公共倉庫議題時(shí)觸發(fā)惡意指令

• AI 將私有倉庫數(shù)據(jù)拉取至上下文環(huán)境

• AI 在公共倉庫創(chuàng)建含私有數(shù)據(jù)的 PR（IT之家注：攻擊者可公開訪問該數(shù)據(jù)）

實(shí)測(cè)結(jié)果：

• 成功滲出用戶 ukend0464 的私有倉庫信息

• 泄露內(nèi)容包括私人項(xiàng)目“Jupiter Star”、移居南美計(jì)劃、薪資等敏感數(shù)據(jù)

該漏洞源于 AI 工作流設(shè)計(jì)缺陷，而非傳統(tǒng) GitHub 平臺(tái)漏洞。作為應(yīng)對(duì)，該公司提出兩套防御方案：動(dòng)態(tài)權(quán)限控制，限制 AI 智能體訪問權(quán)限；持續(xù)安全監(jiān)測(cè)，通過實(shí)時(shí)行為分析和上下文感知策略攔截異常數(shù)據(jù)流動(dòng)。