懂AI
AI 知识与技能学习社区
🔍 AI搜索 🛠️ AI工具导航 ⭐ 工具推荐 📚 提示词库 ⭐ 开通VIP
免费注册
AI资讯

AI圈地震!你用的Cursor和Claude Code正在偷你的数据,20万台服务器暴露

AI执行官

你用的AI编程工具可能正在悄悄”偷”你的数据。

这不是危言耸听。2026年4月15日,以色列网络安全公司OX Security发布了一份报告,直接在AI圈扔了一颗深水炸弹——Anthropic(就是做Claude那家)主导的MCP协议,存在一个架构级别的安全漏洞。

这个漏洞有多严重?超过20万台AI服务器暴露在攻击风险下,波及Cursor、Claude Code、Windsurf等一众热门AI编程工具。更离谱的是,Anthropic早在今年1月7日就收到了通报,但他们的回应是——”这是预期行为”。

今天这篇文章,我用大白话给你讲清楚:这个漏洞到底是怎么回事、你可能受到了什么影响、以及最重要的——你现在该怎么保护自己。

一、先搞懂什么是MCP

MCP的全称是”模型上下文协议”(Model Context Protocol),听起来很技术,但原理很简单。

打个比方:AI就像一个很聪明的盲人,他什么都知道,但摸不到你的电脑。MCP就是给AI装上了一双”手”,让他能直接操作你的电脑——读文件、运行代码、调用工具。

你在用Cursor写代码的时候,AI能帮你自动安装依赖、运行测试、修改配置文件,背后靠的就是MCP协议。

这个协议是Anthropic在2024年底发布的,短短几个月就被几乎所有AI编程工具采用。Cursor、Claude Code、Windsurf、GitHub Copilot……主流工具都在用它。

二、漏洞到底在哪里?

MCP有两种连接方式:网络连接和本地连接(叫STDIO)。

问题就出在STDIO上。

正常情况下,当你让AI连接一个本地工具时,MCP会启动那个工具的服务进程。但OX Security发现,这个启动过程有个致命缺陷:它不会检查到底启动了什么。不管你传什么命令进去,它都照单全收,直接执行。

更可怕的是,即使工具启动失败了,传入的命令依然会被执行。也就是说,整个过程无校验、无警告、无拦截。

安全公司测试了四种攻击方式,每一种都成功:

  • 攻击一:无需登录就能接管整个LangFlow平台
  • 攻击二:通过中间人攻击在生产服务器上执行任意命令
  • 攻击三:轻松绕过Flowise平台的命令白名单过滤
  • 攻击四:用户只需访问一个恶意网页,就能零点击执行本地任意命令(通过Windsurf漏洞)

是的你没看错,第四种攻击连点击都不需要,打开网页就中招。

三、你用的工具受影响了吗?

几乎覆盖了所有主流AI编程工具。我给你列一份清单:

高危级别(建议立即处理):

  • Windsurf IDE:存在零点击远程代码执行漏洞(CVE-2026-30615),这是最危险的一个
  • LangFlow:915个公开实例可被无账户接管
  • Letta AI:生产服务器可被远程命令执行
  • Flowise:白名单防护已被证明无效

中危级别(存在提示注入风险):

  • Cursor:需要至少一次用户交互才能触发
  • Claude Code:同上
  • GitHub Copilot:同上
  • Gemini-CLI:同上

而且这个问题影响了11种编程语言的MCP实现——Python、TypeScript、Java、Kotlin、C#、Go、Ruby、Swift、PHP、Rust,全部中招。

OX Security还做了一个更触目惊心的测试:他们向11个主流MCP市场提交了恶意的MCP服务器,结果9个直接通过,没有任何安全审查。只有GitHub的托管注册表拦截了提交。

四、最让人担心的——官方的态度

如果是一个普通的技术bug,修复就是了。但这件事最让人不安的,是Anthropic的态度。

OX Security在2026年1月7日就通知了Anthropic。Anthropic的回应是:这属于”预期行为”。9天后,他们只是更新了一份安全文档(SECURITY.md),提醒用户”谨慎使用STDIO适配器”,没有做任何架构层面的改动。

换句话说,他们认为这个”漏洞”根本不是漏洞,而是设计如此。

对此,OX Security明确表示不认同,认为这是架构层面的设计缺陷,而不是简单的代码bug。应用层的修补治标不治本,协议层的根本问题依然存在。

五、普通人现在该怎么办?

如果你是AI编程工具的普通用户,不用恐慌,但有几件事建议你现在就做:

1. 检查你的MCP配置

打开你的Cursor或Claude Code设置,看看有没有配置第三方MCP服务器。如果有的话,确认来源是否可信。不认识的服务器,先关掉。

2. 尽快更新工具版本

以下平台已经发布了修复补丁,请尽快升级:

  • LiteLLM
  • DocsGPT
  • Flowise
  • Bisheng

如果你用的是Windsurf,建议暂时切换到其他工具,直到官方发布修复补丁。

3. 不要随意安装第三方MCP插件

记住那组触目惊心的数据:11个MCP市场,9个不审查。不要从不可信的来源安装MCP服务器,哪怕它看起来很方便。

4. 敏感项目用沙箱环境

如果你在用AI编程工具处理重要项目,建议在Docker容器或虚拟机中运行,避免直接在生产环境使用。

5. 关注后续进展

这个问题目前只做了应用层修补,协议层的根本漏洞尚未解决。LangFlow和Agent Zero等平台仍有待修复。建议关注官方安全公告,及时更新。

六、说几句实在话

AI工具发展太快了,快到安全问题总是被功能迭代甩在后面。MCP协议发布才几个月,就已经影响到了20多万台服务器,这说明整个行业在”先跑起来再说”。

但这不代表我们应该拒绝AI工具。就像汽车刚发明的时候也没有安全带,后来才慢慢加上的。AI行业也需要一个安全标准化的过程。

作为普通用户,我们能做到的就是:保持警惕,及时更新,不贪方便

如果你正在使用Cursor、Claude Code这些工具,把这篇文章转发给你的同事朋友,多一个人知道,就少一分风险。

参考资料

  • OX Security研究报告(2026年4月15日)
  • IT之家《AI圈地震:MCP设计缺陷影响超20万台服务器》
  • 奇安信威胁情报中心《MCP协议架构级漏洞深度分析》

分享给朋友