安全公司Cyata Research披露，Anthropic维护的官方MCP服务器mcp-server-git存在三项安全漏洞。攻击者只要通过提示注入影响AI助手所读取的内容，即可诱导模型在调用工具时传入恶意参数，绕过预设的代码库路径限制，扩大可操作的Git范围，并在特定工具调用下造成文件覆盖或删除。若环境同时启用了文件写入权限，风险可能进一步升级为远程代码执行。

MCP是Anthropic提出的开放标准，允许AI助手通过统一接口连接外部工具与数据源，例如文件系统、API和Git等。该架构使MCP服务器能根据模型的决策在本地或开发环境中执行操作，因此提示注入不仅限于内容误导，更可能转化为具体的工具调用与系统行为。

研究人员指出，第一项漏洞CVE-2025-68145涉及路径验证问题。mcp-server-git启动时可限制允许操作的代码库位置，但在工具调用时，传入的代码库路径未与该限制进行比对，导致在提示注入影响下，AI可能被引导操作系统上其他可访问的Git代码库。第二项漏洞CVE-2025-68143是Git初始化缺乏路径限制，攻击者可在任意目录初始化新的Git代码库，使原本不属于项目的文件夹被纳入Git操作范围。研究人员提醒，此场景可能导致文件内容被读入模型上下文，虽不等于直接外泄，但仍会使敏感信息进入AI可见范围及后续处理流程。

第三项漏洞CVE-2025-68144属于参数注入。研究人员发现，该服务器在执行Git差异比对时，会直接将用户提供的比对目标参数交由Git命令行解析，缺乏必要参数校验。攻击者可借此将本应仅用于指定比对对象的输入，转化为影响Git执行行为的选项，导致文件被覆盖，实现破坏或等效删除的效果。研究人员还指出，若同时具备文件写入权限，攻击者可能修改Git配置，利用Git内置机制在特定操作时触发命令行指令，使风险提升至远程代码执行级别。

Cyata于2025年6月向Anthropic通报漏洞并持续补充细节，9月获得确认，12月完成CVE编号分配并提交补丁。用户需将mcp-server-git升级至2025.12.18或更高版本，同时梳理实际启用的MCP服务器组合，避免在未评估风险的情况下同时开放Git与文件系统等高权限功能，并注意检查是否存在非预期的.git文件夹等异常情况。