您的 MCP 服务器工具描述刚刚窃取了您的 SSH 密钥
内容摘要
MCP 服务器中存在一个关键漏洞,攻击者可通过在工具描述中植入恶意指令进行“工具投毒”。由于大语言模型将这些描述视为可执行指令而非单纯的元数据,AI 代理可能被诱导读取 SSH 私钥等本地敏感文件并将其外传。这一漏洞凸显了信任 MCP 服务器元数据的风险,开发人员必须通过部署验证层、提示词扫描及严格审计已连接服务器来防止此类间接提示词注入攻击。
(来源:Sec-ra)
Anthropic
介绍 Claude Opus 4.7
TechCrunch
Runway CEO 表示,AI 可以帮助好莱坞制作 50 部电影,而不是一部 1 亿美元的大片
The Verge
罗南·法罗谈萨姆·奥特曼与真相的“不受约束”的关系
The Verge
Character.AI 的新“书籍”模式将阅读变成角色扮演
The Verge
Canva 的 AI 2.0 更新全面转向基于提示的设计工具
TechCrunch
Canva 的 AI 助手现在可以调用各种工具为您进行设计
TechCrunch
这家模拟初创公司希望成为物理AI的Cursor
TechCrunch
以文本翻译闻名的 DeepL 现在想要翻译你的声音
TechCrunch
AI学习应用Gizmo用户达1300万,获2200万美元投资
TechCrunch
人工智能能否评判新闻业?一家由 Thiel 支持的初创公司表示可以,即使这会冒着扼杀举报人的风险