隨著人工智慧（AI）技術快速滲透全球軟體即服務（SaaS）平台，AI相關的安全隱憂也日益浮現。根據最新研究顯示，廣泛使用的模型上下文協議（Model Context Protocol，簡稱MCP）伺服器存在嚴重漏洞，可能導致遠端程式碼執行（RCE）及雲端系統接管等重大風險。這些漏洞不僅影響微軟（Microsoft）和Anthropic等科技巨頭的產品，更可能波及全球AI生態系統，包括台灣的AI應用開發者和企業用戶。研究人員警告，這反映出AI工具在匆忙上市時，安全防護措施的不足，可能放大網路攻擊的威脅。

 

MCP伺服器是AI服務的核心元件，用於連接大型語言模型（LLM）與外部資料來源，讓AI能處理更多複雜任務。原本設計為簡單的檔案轉換工具，例如將各種檔案格式轉為Markdown以供LLM使用，但由於缺乏嚴格的輸入驗證，這些伺服器成為攻擊者的潛在目標。根據安全研究公司BlueRock和Cyata的最新報告，微軟的MarkItDown MCP伺服器及Anthropic的Git與檔案系統MCP伺服器均存在漏洞，影響範圍廣泛。

 

首先，讓我們來探討微軟的MarkItDown MCP伺服器。這款伺服器在GitHub上擁有超過85,000個星號和5,000個分叉，堪稱最受歡迎的MCP工具之一。其功能看似無害：用戶提供一個統一資源識別碼（URI），伺服器便擷取該檔案並轉換格式。然而，問題在於伺服器未對用戶輸入進行任何限制。BlueRock的首席產品官Harold Byun指出，用戶可能輸入內部檔案、網路可存取的敏感資源，甚至是任意的網路呼叫。這導致伺服器端請求偽造（SSRF）漏洞的出現。

 

SSRF是一種常見的網路攻擊手法，攻擊者可利用伺服器作為跳板，存取原本無法觸及的資源。例如，在企業網路中，一名員工（或遭駭客控制的員工電腦）可透過MCP伺服器繞過權限，存取機密資料。BlueRock的研究團隊特別關注雲端環境下的風險，尤其是在亞馬遜網路服務（AWS）EC2實例中運行的MCP伺服器。EC2實例內建的中繼資料服務（Metadata Service）位於特定IP位址，包含臨時憑證、存取金鑰和會話權杖等敏感資訊。研究人員發現，透過輸入該IP位址，攻擊者可輕易擷取這些憑證，從而接管雲端資源。

 

雖然AWS提供更安全的Instance Metadata Service版本2（IMDSv2），能抵禦部分SSRF攻擊，但Byun表示，大多數AWS實例仍使用較舊的IMDSv1版本。這意味著全球數以萬計的雲端系統暴露在風險中。BlueRock進一步分析了超過7,000個MCP伺服器，發現約36.7%的伺服器可能存在類似SSRF漏洞。這項發現令人震驚，因為MCP伺服器已被廣泛整合進AI代理程式中，這些代理可能在無人監督下執行任務，放大攻擊的影響。

 

微軟對此回應稱，經過調查，他們認為此情境不會對客戶造成重大風險，因為它需用戶刻意以非預期方式使用功能。然而，Byun強烈反對這種說法。他強調，用戶往往會根據需求靈活運用軟體，開發者應主動實施最佳實務，如限制呼叫範圍和加強輸入驗證。Byun建議，企業應立即審查其MCP伺服器的權限設定，尤其在雲端環境中，避免過度授權。

 

另一方面，Anthropic作為MCP開放標準的創建者，其官方Git MCP伺服器也曝出多項漏洞。Cyata的研究人員於2026年1月20日公布三個中度嚴重漏洞，分別為CVE-2025-68145（CVSS分數6.4）、CVE-2025-68143（CVSS 6.5）和CVE-2025-68144（CVSS 6.3）。

 

CVE-2025-68145涉及路徑驗證繞過：管理員可設定限制伺服器僅存取特定儲存庫路徑，但實際機制未能有效執行，允許攻擊者存取未授權區域。CVE-2025-68143則允許用戶在檔案系統任意位置建立新儲存庫，將普通目錄轉為Git儲存庫，這可能用於植入惡意內容。CVE-2025-68144關於git_diff命令，雖然該命令本為唯讀，但研究人員發現可利用它清空或覆寫伺服器可存取的任何檔案。

 

這些漏洞單獨看來或許可控，但Cyata團隊透過漏洞鏈結，結合Git MCP與檔案系統MCP伺服器，打造出強大的RCE攻擊鏈。攻擊情境如下：攻擊者先在受害者AI助理讀取的檔案中植入惡意內容，透過間接提示注入（Indirect Prompt Injection，IPI）誘導AI執行漏洞。AI首先將正常目錄轉為Git儲存庫，然後使用檔案系統MCP寫入“.gitattributes”檔案和覆寫配置檔，設定過濾器以在處理.txt檔案時自動執行殼命令。最後，AI寫入惡意酬載和普通文字檔，觸發酬載執行，實現任意程式碼執行。

 

Cyata執行長兼共同創辦人Shahar Tal表示，每個MCP伺服器單獨使用時相對安全，但多個伺服器互聯時，交互作用會打破安全假設。這是AI代理高度互聯的毒性組合，可能導致系統崩潰。Cyata於去年6月向Anthropic通報，Anthropic於12月發布2025.12.18版本的Git MCP伺服器，強化路徑驗證、參數處理，並移除git_init工具。

 

Tal諷刺地指出，連Anthropic的官方參考實作都出問題，顯示整個產業對MCP安全的認知不足。Anthropic尚未回應媒體詢問。

 

這些漏洞對全球AI生態的影響深遠。過去，AI如ChatGPT僅限於封閉對話，如今AI代理可存取外部資料，風險擴散至SaaS平台。研究顯示，AI工具在恐懼過度限制用戶而匆忙上市，常忽略安全護欄。BlueRock分析顯示，36.7%的MCP伺服器潛藏SSRF風險，意味著數百萬AI應用可能暴露。

 

從台灣角度來看，這對本地AI產業構成挑戰。台灣作為半導體與科技製造重鎮，许多企業如台積電、聯發科正積極導入AI代理提升生產效率。若MCP伺服器漏洞未修補，可能導致供應鏈攻擊，影響國家關鍵基礎設施。台灣資安專家建議，企業應採用多層防護，如定期掃描漏洞、限制AI權限，並使用IMDSv2等安全版本。政府可推動AI安全標準，加強與國際合作。

 

此外，相關事件呼應2026年初微軟零日漏洞事件，顯示科技巨頭在AI競賽中，安全往往落後。專家預測，隨著AI互聯性增加，類似漏洞將頻現。Byun呼籲開發者重視“邊界約束”，確保MCP呼叫受限。Tal則強調，MCP標準需內建安全機制，而非留給用戶處理。

 

總結而言，微軟與Anthropic的MCP伺服器漏洞凸顯AI安全的緊迫性。企業與開發者須立即行動，修補漏洞並強化防護，以防RCE與雲端接管成為現實威脅。未來，AI發展應平衡創新與安全，避免重蹈覆轍。

 

出處： 基於Dark Reading文章《Microsoft & Anthropic MCP Servers At Risk of RCE, Cloud Takeovers》，作者Nate Nelson，發布日期2026年1月20日。