瑞士新创安全公司Invariant Labs揭露一项影响广泛的严重资安漏洞，涉及目前社群积极推动并与GitHub平台整合的MCP（Model Context Protocol）服务器。该漏洞可使攻击者仅透过在公开储存库建立特製的GitHub Issue，诱使人工智慧代理如Claude Desktop等现有支援MCP技术的人工智慧开发工具，在特定授权情境下，将用户私有储存库中的敏感资料外洩至公开储存库。

该漏洞的关键在于人工智慧代理在用户授权后，会依照开发者对GitHub MCP服务器的查询，自动执行读取指定储存库Issue、建立拉取请求等操作，而攻击者只需在目标用户的公开储存库新增具恶意提示词注入的Issue，当用户请求人工智慧代理检视该储存库的公开Issue时，代理即可能受提示词操控，在自动授权设定下撷取用户帐号的私有储存库内容，最终将敏感资讯透过拉取请求等方式洩漏于公开储存库。

此攻击流程不仰赖複杂的权限提升或服务器漏洞，而是利用MCP协定与代理授权的机制。人工智慧代理虽具用户确认操作的安全设计，但部分用户为提升操作效率，可能选择总是允许等预设授权，让代理可于无人监督下执行多项行动，进一步增加提示词注入攻击成功的机会。

研究人员进一步说明，这类恶意代理流程漏洞，并非MCP本身的程序码缺陷，也非传统服务器权限设定问题，而是生成式人工智慧代理工具与第三方平台整合时，未妥善限制其跨储存库或跨权限操作的架构性问题。即使採用已加强对齐与安全训练的先进人工智慧模型，在实验场景下仍无法有效防範这类提示词注入的複合攻击。

针对这类风险，研究人员建议组织与开发团队在导入MCP等人工智慧代理技术时，应落实权限最小化原则，仅开放代理存取必要的储存库範围。目前未有官方修补方案，且由于属于架构设计层级的安全议题，现阶段仅能透过额外的安全层或代理行为监控工具降低潜在风险。