GitHubMCP漏洞曝光：攻击者可借恶意议题访问私有仓库，诱导Claude4泄露隐私

来源：YPS数据挖掘大师 2025-06-01 浏览：119 字号：T|T

摘要：YPS行业门户系统6月1日消息，GitHub官方MCP服务器可赋予大语言模型多项新能力，包括读取用户有权访问的仓库议题、提交新拉取请求（PR）。这构成了提示注入攻击的三重威胁：私有数据访问权限、恶意指令暴露及信息渗出能力。瑞士网络安全公司InvariantLabs周四发文称，他们发现GitHub官方MCP服务器存在漏洞，攻击者可在公共仓库中隐藏恶意指令，诱导Claude4等AI智能体泄露MCP用户……

　　YPS行业门户系统 6 月 1 日消息，GitHub 官方 MCP 服务器可赋予大语言模型多项新能力，包括读取用户有权访问的仓库议题、提交新拉取请求（PR）。这构成了提示注入攻击的三重威胁：私有数据访问权限、恶意指令暴露及信息渗出能力。

　　瑞士网络安全公司 Invariant Labs 周四发文称，他们发现 GitHub 官方 MCP 服务器存在漏洞，攻击者可在公共仓库中隐藏恶意指令，诱导 Claude 4 等 AI 智能体泄露 MCP 用户的私有仓库敏感数据。同时，类似漏洞也出现在 GitLab Duo 中。

　　攻击核心在于获取“用户正在处理的其他仓库”信息。由于 MCP 服务器拥有用户私有仓库访问权限，LLM 处理该议题后将创建新 PR—— 而这就会暴露私有仓库名称。

　　在 Invariant 测试案例中，用户仅需向 Claude 发出以下请求即可触发信息泄露：

　　▲ 用户指令

　　▲ 完整聊天截图

　　值得一提的是，若将多个 MCP 服务器组合（一个访问私有数据、一个暴露恶意 Token、第三个泄露数据），将构成更大风险。而 GitHub MCP 现已将这三要素集成于单一系统。

　　攻击机制详解

　　前置条件：

　　用户使用 Claude 等 MCP 客户端，并绑定 GitHub 账户

　　用户同时拥有公共仓库（如 <用户>/public-repo）与私有仓库（如 < 用户 >/private-repo）

　　攻击流程：

　　攻击者在公共仓库创建含提示注入的恶意议题

　　用户向 Claude 发送常规请求（如“查看 pacman 开源仓库的议题”）

　　AI 获取公共仓库议题时触发恶意指令

　　AI 将私有仓库数据拉取至上下文环境

　　AI 在公共仓库创建含私有数据的 PR（YPS行业门户系统注：攻击者可公开访问该数据）

　　实测结果：

　　成功渗出用户 ukend0464 的私有仓库信息

　　泄露内容包括私人项目“Jupiter Star”、移居南美计划、薪资等敏感数据

　　该漏洞源于 AI 工作流设计缺陷，而非传统 GitHub 平台漏洞。作为应对，该公司提出两套防御方案：动态权限控制，限制 AI 智能体访问权限；持续安全监测，通过实时行为分析和上下文感知策略拦截异常数据流动。

关于