为了应对这些安全问题,该Python软件包现已移除可能引发路径遍历的工具git_init,并添加了额外的验证机制。建议所有用户尽快将软件包更新到最新版本,以获得全面的安全防护。
Anthropic维护的Git模型上下文协议(MCP)服务器mcp-server-git被披露存在三个安全漏洞,攻击者在特定条件下可利用这些漏洞读取或删除任意文件,甚至执行恶意代码。

Cyata研究员Yarden Porat在提供给网络安全媒体的报告中指出:“这些漏洞可以通过提示注入(prompt injection)被利用。这意味着,攻击者能够影响AI助手读取恶意内容(例如被篡改的README文件、植入恶意描述的问题说明或被入侵的网页),从而在不直接接触受害者系统的情况下,将这些漏洞武器化。”
mcp-server-git是一个Python软件包,也是一个MCP服务器。它提供了一组内置工具,允许大型语言模型(LLM)以编程方式读取、搜索和操作Git仓库。
这些安全问题已于2025年6月被报告给维护者,并在随后的2025年9月25日和2025年12月18日发布的版本中得到修复。具体漏洞包括:
CVE-2025-68143(CVSS评分:8.8[v3]/6.5[v4])- git_init工具在创建仓库时未验证文件系统路径,导致路径遍历漏洞(已于2025年9月25日版本修复)。CVE-2025-68144(CVSS评分:8.1[v3]/6.4[v4])- git_diff和git_checkout函数将用户控制的参数直接传递给git CLI命令,导致参数注入漏洞(已于2025年12月18日版本修复)。CVE-2025-68145(CVSS评分:7.1[v3]/6.3[v4])- 使用--repository标志将操作限制到特定仓库路径时,缺乏路径验证导致的路径遍历漏洞(已于2025年12月18日版本修复)。成功利用上述漏洞可使攻击者将系统上的任何目录转换为Git仓库、利用空差异覆盖任意文件,以及访问服务器上的任何仓库。
根据Cyata记录的攻击场景,这三个漏洞可与文件系统MCP服务器串联使用。具体方式是向通常位于隐藏.git目录中的“.git/config”文件写入恶意配置,并借助提示注入触发git_init调用,最终实现远程代码执行。攻击步骤如下:
使用git_init在可写目录创建仓库。通过文件系统MCP服务器写入一个包含clean过滤器的恶意.git/config文件。编写.gitattributes文件,将过滤器应用于特定文件。创建包含恶意载荷的shell脚本。触发过滤器的文件。调用git_add执行clean过滤器,从而运行恶意载荷。作为应对措施,该软件包已移除git_init工具并增加额外验证以防止路径遍历。再次建议Python软件包用户更新至最新版本,以获得最佳防护。
Agentic AI安全公司Cyata的首席执行官兼联合创始人Shahar Tal表示:“这是一个标准的Git MCP服务器,是开发者期望会复用的参考实现。如果参考实现中的安全边界都遭到破坏,就表明整个MCP生态系统需要更深入的审查。这些不是边缘案例或特殊配置缺陷,而是开箱即用的真实漏洞。”
