近日，GitHub官方推出的MCP服務器為大語言模型增添了新功能，包括讀取用戶倉庫議題和提交新拉取請求（PR）的能力。然而，這一創新卻潛藏著三重安全威脅：私有數據訪問、惡意指令暴露以及信息泄露。

據瑞士網絡安全公司Invariant Labs發布的研究報告，他們發現GitHub官方的MCP服務器存在安全漏洞，攻擊者能夠在公共倉庫中巧妙隱藏惡意指令。當AI智能體如Claude 4處理這些公共倉庫議題時，可能會不經意間觸發這些指令，導致MCP用戶的私有倉庫敏感數據被泄露。值得注意的是，類似的漏洞也存在于GitLab Duo中。

攻擊的核心在于獲取用戶正在處理的其他倉庫信息。由于MCP服務器被授予了訪問用戶私有倉庫的權限，當大語言模型處理相關議題并嘗試創建新PR時，私有倉庫的名稱便有可能被暴露出來。

Invariant Labs的測試案例詳細揭示了這一攻擊過程。用戶只需向Claude發出一個看似無害的請求，如“查看pacman開源倉庫的議題”，就可能觸發信息泄露。當AI智能體在處理公共倉庫議題時，會意外觸發隱藏的惡意指令，進而將私有倉庫的數據拉入上下文環境，并在公共倉庫中創建一個包含私有數據的PR，使得攻擊者能夠輕松訪問這些敏感信息。

更為嚴重的是，如果將多個MCP服務器組合使用，一個用于訪問私有數據，一個用于暴露惡意Token，另一個用于泄露數據，將構成更為嚴峻的安全風險。而GitHub的MCP服務器目前已經將這三要素集成在一個系統中，這無疑加劇了安全威脅。

在實際測試中，Invariant Labs成功滲出了用戶ukend0464的私有倉庫信息，泄露的內容包括私人項目“Jupiter Star”、移居南美計劃以及薪資等高度敏感的數據。這一漏洞源于AI工作流的設計缺陷，而非傳統GitHub平臺的安全漏洞。

為了應對這一安全挑戰，Invariant Labs提出了兩套防御方案。首先，實施動態權限控制，嚴格限制AI智能體的訪問權限，確保它們只能訪問必要的數據。其次，建立持續安全監測系統，通過實時行為分析和上下文感知策略來攔截異常的數據流動，從而及時發現并阻止潛在的安全威脅。