พบช่องโหว่บน Anthropic Git MCP Server ส่งผลให้แฮกเกอร์เข้าถึงไฟล์และรันโค้ดผ่าน Prompt Injection

พบช่องโหว่บน Anthropic Git MCP Server ส่งผลให้แฮกเกอร์เข้าถึงไฟล์และรันโค้ดผ่าน Prompt Injection

ทีมวิจัยด้านความปลอดภัยจาก Cyata Security เปิดเผยช่องโหว่หลายรายการบน mcp-server-git ซึ่งเป็น Reference Implementation ของ Anthropic สำหรับ Model Context Protocol (MCP) ที่ใช้เชื่อมต่อ Git Repository กับ AI Agent โดยช่องโหว่เหล่านี้สามารถถูกโจมตีแบบ Chain กันเพื่อเข้าถึงไฟล์และรันโค้ดบนระบบเป้าหมายผ่าน Prompt Injection

ช่องโหว่ที่พบมี 3 รายการ ได้แก่ git_init ที่อนุญาตให้สร้าง Repository ที่ Path ใดก็ได้บน Filesystem, Path Validation Bypass ที่เปิดให้เข้าถึง Repository นอก Allowlist และ Argument Injection ใน git_diff ที่ส่ง Input โดยไม่ผ่านการ Sanitize ไปยัง Git CLI โดยตรง เมื่อนำมารวมกันทำให้ผู้โจมตีสามารถอ่าน ลบ หรือเขียนทับไฟล์บนระบบได้ ช่องโหว่เหล่านี้ส่งผลกระทบต่อ mcp-server-git ทุก Version ที่ออกก่อนวันที่ 18 ธันวาคม 2025 และสามารถถูก Exploit ผ่าน Content ที่ AI อ่านได้ เช่น README ที่ถูกฝัง Payload, Issue Description หรือหน้าเว็บที่ถูก Compromise

ความเสี่ยงจะเพิ่มขึ้นอย่างมากเมื่อใช้ Git MCP Server ร่วมกับ Filesystem MCP Server เพราะผู้โจมตีสามารถใช้ Git Smudge และ Clean Filter เพื่อรัน Shell Command ที่ฝังอยู่ใน Repository Config ได้ ซึ่งหมายความว่าการโจมตีทั้งหมดสามารถเกิดขึ้นได้โดยไม่ต้องมี Credential หรือ Shell Access เพียงแค่ควบคุม Input ที่ LLM อ่านเท่านั้น สำหรับระดับความรุนแรง GitHub ให้คะแนน Medium ตาม CVSS 4.0 ขณะที่ GitLab ให้ระดับ High ตาม CVSS 3.1

Cyata รายงานช่องโหว่ให้ Anthropic ตั้งแต่เดือนมิถุนายน 2025 และแพตช์ถูกปล่อยเมื่อวันที่ 17 ธันวาคม 2025 โดยการแก้ไขรวมถึงการลบ git_init Tool ออกจาก Server ทั้งหมด องค์กรที่ยังไม่ได้อัปเดต mcp-server-git ควรดำเนินการโดยด่วน พร้อมปฏิบัติต่อ Argument ทุกตัวที่ส่งไปยัง MCP Tool เสมือน Untrusted Input และประเมิน Permission ของ Agent แบบองค์รวมแทนการพิจารณาแยกรายเครื่องมือ

ที่มา: https://siliconangle.com/2026/01/20/anthropics-official-git-mcp-server-hit-chained-flaws-enable-file-access-code-execution/