近日，安全研究人员在 Anthropic 维护的官方 mcp-server-git 项目中发现了三项较为严重的安全漏洞。这些漏洞可被攻击者通过提示词注入的方式加以利用，即便攻击者并未直接访问受害者系统，也有可能借助恶意 README 文件或被篡改的网页触发漏洞，从而对系统安全构成威胁。相关信息已引发开发者社区和安全领域的广泛关注。

根据披露内容，这三项漏洞分别为 CVE-2025-68143、CVE-2025-68145 以及 CVE-2025-68144。其中，CVE-2025-68143 涉及未受限制的 git_init 操作，攻击者可利用这一缺陷在系统任意位置初始化 Git 仓库；CVE-2025-68145 则与路径验证绕过有关，允许攻击者在缺乏有效校验的情况下操纵路径；而 CVE-2025-68144 则存在于 git_diff 功能中，涉及参数注入风险。这些漏洞在单独存在时已具备一定风险，若被组合利用，危害性将显著放大。

安全机构 Cyata 在分析中指出，mcp-server-git 对 repo_path 参数缺乏必要的路径校验，是问题的关键根源之一。攻击者可以借此在系统的任意目录中创建 Git 仓库，从而突破原本的安全边界。更为严重的是，如果将这些漏洞与文件系统 MCP 服务器结合使用，攻击者甚至可以执行任意代码、删除系统文件，或将任意文件内容读取并注入到大语言模型的上下文中，这可能导致敏感信息泄露或系统被完全控制。

研究人员还发现，通过在 .git/config 文件中配置清理过滤器，攻击者无需获得可执行权限，也能够运行 Shell 命令。这种攻击方式隐蔽性较强，极易在不被察觉的情况下完成恶意操作，对依赖 mcp-server-git 进行自动化处理或与大语言模型集成的系统尤为危险。

针对上述问题，Anthropic 已于 2025 年 12 月 17 日为这些漏洞正式分配了 CVE 编号，并向项目提交了相应的修复补丁。官方建议所有使用 mcp-server-git 的用户尽快采取行动，将版本更新至 2025.12.18 或更高版本，以避免潜在的安全风险。及时更新不仅能够修补已知漏洞，也有助于降低系统被利用的可能性。

从更广泛的角度来看，此次事件也再次提醒开发者和企业，在将工具与大语言模型或自动化系统深度结合时，必须高度重视安全边界和输入校验问题。随着 AI 工具和 MCP 服务器在实际业务中的应用不断扩大，一旦基础组件存在漏洞，其影响范围往往会被成倍放大。因此，定期进行安全审计、快速响应漏洞披露，并保持软件版本的及时更新，已成为保障系统安全的关键措施。