Официальный пакет
Основным вектором атаки является внедрение промпта (Prompt Injection). Механизм эксплуатации не требует прямого доступа к системе жертвы: злоумышленникам достаточно повлиять на то, что именно читает ИИ-ассистент. В качестве носителей вредоносного кода могут выступать файлы README, описания проблем (issues) или скомпрометированные веб-страницы. Как отмечает исследователь Ярден Порат из компании Cyata, занимающейся безопасностью агентивного ИИ, «... злоумышленник, способный повлиять на то, что читает ИИ-ассистент... может превратить эти уязвимости в оружие без какого-либо прямого доступа к системе жертвы». Важно отметить, что данные уязвимости работают в стандартной конфигурации («из коробки») и не требуют создания редких или экзотических условий.
Первая уязвимость, получившая идентификатор CVE-2025-68143, классифицируется как обход каталога (Path Traversal). Причиной стал инструмент
Вторая проблема, обозначенная как CVE-2025-68144, связана с внедрением аргументов (Argument Injection). Функции
Специалисты Cyata задокументировали детальную цепочку атаки, демонстрирующую достижение удаленного выполнения кода (RCE) с использованием сервера Filesystem MCP. Сценарий начинается с использования
Для устранения выявленных угроз Anthropic приняла радикальные меры: инструмент
Информация об уязвимостях была передана изданию The Hacker News компанией Cyata. Генеральный директор и соучредитель Cyata Шахар Тал подчеркнул важность проблемы, учитывая статус программного обеспечения. «Это канонический Git MCP-сервер, тот самый, который разработчики должны копировать. Если границы безопасности нарушаются даже в эталонной реализации, это сигнал о том, что вся экосистема MCP нуждается в более глубоком изучении», — заявил Тал.
mcp-server-git, поддерживаемый компанией Anthropic, представляет собой эталонный сервер Model Context Protocol (MCP) для работы с Git. Этот Python-пакет предоставляет встроенные инструменты, позволяющие большим языковым моделям (LLM) программно читать, искать и манипулировать репозиториями Git. Недавно в данном программном обеспечении были раскрыты три серьезные уязвимости безопасности, которые создают риски чтения и удаления произвольных файлов, удаленного выполнения кода (RCE), превращения любой директории в Git-репозиторий и перезаписи файлов пустыми изменениями. Проблема усугубляется тем, что злоумышленник может получить доступ к любому репозиторию на сервере. Изображение носит иллюстративный характер
Основным вектором атаки является внедрение промпта (Prompt Injection). Механизм эксплуатации не требует прямого доступа к системе жертвы: злоумышленникам достаточно повлиять на то, что именно читает ИИ-ассистент. В качестве носителей вредоносного кода могут выступать файлы README, описания проблем (issues) или скомпрометированные веб-страницы. Как отмечает исследователь Ярден Порат из компании Cyata, занимающейся безопасностью агентивного ИИ, «... злоумышленник, способный повлиять на то, что читает ИИ-ассистент... может превратить эти уязвимости в оружие без какого-либо прямого доступа к системе жертвы». Важно отметить, что данные уязвимости работают в стандартной конфигурации («из коробки») и не требуют создания редких или экзотических условий.
Первая уязвимость, получившая идентификатор CVE-2025-68143, классифицируется как обход каталога (Path Traversal). Причиной стал инструмент
git_init, который принимал произвольные пути файловой системы при создании репозитория без надлежащей проверки. Оценка опасности данной бреши по шкале CVSS v3 составила 8.6 балла, а по CVSS v4 — 6.5. Исправление для этой проблемы было выпущено в версии пакета от 25 сентября 2025 года. Вторая проблема, обозначенная как CVE-2025-68144, связана с внедрением аргументов (Argument Injection). Функции
git_diff и git_checkout передавали контролируемые пользователем аргументы напрямую в команды git CLI без какой-либо санации. Уязвимость получила оценку 8.1 по CVSS v3 и 6.4 по CVSS v4. Разработчики устранили этот недостаток в обновлении от 18 декабря 2025 года. Третья уязвимость, CVE-2025-68145, также относится к типу Path Traversal и вызвана отсутствием валидации пути при использовании флага --repository, предназначенного для ограничения операций конкретным путем. Она оценена в 7.1 (CVSS v3) и 6.3 (CVSS v4) балла и также была исправлена 18 декабря 2025 года. Специалисты Cyata задокументировали детальную цепочку атаки, демонстрирующую достижение удаленного выполнения кода (RCE) с использованием сервера Filesystem MCP. Сценарий начинается с использования
git_init для создания репозитория в доступной для записи директории. Затем, используя сервер Filesystem MCP, атакующий записывает вредоносный файл .git/config в скрытую директорию .git, содержащий «clean filter». Далее создается файл .gitattributes для применения фильтра к конкретным файлам, записывается шелл-скрипт с полезной нагрузкой и файл-триггер. Финальный вызов команды git_add активирует фильтр, который запускает скрипт. Для устранения выявленных угроз Anthropic приняла радикальные меры: инструмент
git_init был полностью удален из пакета. Кроме того, в код были внесены изменения, добавляющие дополнительную валидацию для предотвращения примитивов обхода путей. Пользователям настоятельно рекомендуется обновиться до последней версии Python-пакета для обеспечения оптимальной защиты своих систем и данных. Информация об уязвимостях была передана изданию The Hacker News компанией Cyata. Генеральный директор и соучредитель Cyata Шахар Тал подчеркнул важность проблемы, учитывая статус программного обеспечения. «Это канонический Git MCP-сервер, тот самый, который разработчики должны копировать. Если границы безопасности нарушаются даже в эталонной реализации, это сигнал о том, что вся экосистема MCP нуждается в более глубоком изучении», — заявил Тал.
