安全研究人员披露了一个影响 Context7 MCP Server 的高危漏洞,该工具被广泛用于向 AI 编程助手提供开发文档。
该漏洞被命名为 ContextCrush,攻击者可通过受信任的文档渠道,向 AI 开发工具注入恶意指令。
漏洞由 Noma Labs 研究人员在 Upstash 运营的 Context7 平台中发现。Context7 让开发者在集成开发环境中,直接为 Cursor、Claude Code、Windsurf 等 AI 助手提供最新的库文档。
该服务拥有约 5 万 GitHub Star、超过 800 万 npm 下载量,已成为 AI 辅助开发流程中的常见基础组件。
ContextCrush 漏洞原理
漏洞源于平台的 Custom Rules(自定义规则) 功能,库维护者可通过该功能向 AI 提供专用指令,帮助助手更好地解析文档。研究人员发现,这些指令会原样下发给 AI,不经过任何过滤或净化。
由于指令通过受信任的 MCP 服务器传输,AI 会将其视为合法指引,并以开发者电脑的权限执行。
这意味着攻击者可在文档注册库中植入恶意规则,并借助 Context7 的基础设施分发给开发者的 AI 工具,且无需与受害者系统直接交互。
研究人员概述了一种典型的攻击链:
· 使用 GitHub 账号在 Context7 注册新库
· 在 Custom Rules 中插入恶意指令
· 等待开发者通过 AI 编程助手查询该库
· 触发后,AI 会利用现有系统权限执行有害操作
已验证的影响与安全风险
测试中,研究人员成功演示了被投毒的库条目如何攻陷开发环境。
AI 助手被指令搜索敏感 .env 文件、将内容传到攻击者控制的仓库,并以 “清理任务” 为名删除本地文件。由于指令与合法文档一同下发,AI 无法可靠区分。
安全分析师警告,MCP 服务器架构存在固有信任问题。聚合用户生成内容并通过可信渠道分发的工具,可能无意中把文档变成 AI 可执行指令。
Noma Labs 还强调,GitHub 声誉、热度排名、信任评分等指标均可被操纵,恶意库可轻易伪装成可信库。
在 2 月 18 日漏洞披露后,Upstash 次日开始修复,并于 2 月 23 日正式发布补丁,加入规则净化与额外安全防护。目前无证据表明该漏洞已被实际利用。
消息来源:infosecurity-magazine.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
