GitHub MCP 漏洞曝光：攻击者可借恶意议题访问私有仓库，诱导 Claude 4 泄露隐私

瑞士网络安全公司InvariantLabs周四发文称，他们发现GitHub官方MCP服务器存在漏洞，攻击者可在公共仓库中隐藏恶意指令，诱导Claude4等AI智能体泄露MCP用户的私有仓库敏感数据。同时，类似漏洞也出现在GitLabDuo中。攻击核心在于获取“用户正在处理的其他仓库”信息。由于MCP服务器拥有用户私有仓库访问权限，LLM处理该议题后将创建新PR——而这就会暴露私有仓库名称。在Invariant测试案例中，用户仅需向Claude发出以下请求即可触发信息泄露：▲用户指令▲完整聊天截图值得一提的是，若将多个MCP服务器组合（一个访问私有数据、一个暴露恶意Token、第三个泄露数据），将构成更大风险。而GitHubMCP现已将这三要素集成于单一系统。攻击机制详解前置条件：用户使用Claude等MCP客户端，并绑定GitHub账户用户同时拥有公共仓库（如<用户>/public-repo）与私有仓库（如<用户>/private-repo）攻击流程：攻击者在公共仓库创建含提示注入的恶意议题用户向Claude发送常规请求（如“查看pacman开源仓库的议题”）AI获取公共仓库议题时触发恶意指令AI将私有仓库数据拉取至上下文环境AI在公共仓库创建含私有数据的PR（亚汇网注：攻击者可公开访问该数据）实测结果：成功渗出用户ukend0464的私有仓库信息泄露内容包括私人项目“JupiterStar”、移居南美计划、薪资等敏感数据该漏洞源于AI工作流设计缺陷，而非传统GitHub平台漏洞。作为应对，该公司提出两套防御方案：动态权限控制，限制AI智能体访问权限；持续安全监测，通过实时行为分析和上下文感知策略拦截异常数据流动。广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，亚汇网所有文章均包含本声明。