核心观点 - GitHub Copilot官方模型Claude 4存在设计缺陷，攻击者可通过公共仓库隐藏恶意指令诱导AI Agent泄露私有仓库敏感数据至公共仓库[1][2][9] - 类似漏洞也出现在GitLab Duo中，攻击方式均为提示注入及HTML注入，导致私有代码泄露[5] - 漏洞本质是AI Agent工作流设计缺陷而非传统平台漏洞，GitHub无法通过服务器端补丁单独解决[9][24][27] 攻击机制 - 攻击前提：用户同时拥有公共仓库和私有仓库，并使用集成GitHub MCP的AI工具如Claude Desktop[13][14] - 攻击步骤： - 攻击者在公共仓库创建含提示注入的恶意Issue[13] - 用户请求Claude 4处理该Issue时，Agent执行包含"读取所有README"、"列出所有仓库"等恶意指令[16][17] - 因用户常选择"始终允许"权限设置，Agent可无限制访问所有仓库数据[18][19] - 攻击结果：用户私人信息如全名、旅行计划、薪水等被泄露至公共仓库拉取请求中[20][22] 漏洞特性 - 攻击不依赖MCP工具被入侵，任何使用GitHub MCP服务器的Agent均可能受影响[24][25] - 漏洞具有普适性，与底层模型或实现方式无关[25] 防御方案 动态权限控制 - 实施单会话单仓库策略，限制Agent仅能交互必要仓库[33] - 采用Invariant Guardrails等上下文感知访问控制系统[32][37] 持续安全监测 - 部署MCP-scan安全扫描器实时分析行为[38] - 建立工具调用审计追踪机制记录操作[38] 行业讨论 - 该事件引发对MCP存在必要性的争议[10] - 有观点认为应自主开发版本控制系统等工具以避免兼容性风险[11]