GitHub MCP漏洞曝光：攻擊者可借歹意議題拜訪私有庫房

6 月 1 日消息，GitHub 官方 MCP 服務(wù)器可賦予大語言模型多項(xiàng)新能力，包括讀取用戶有權(quán)訪問的倉庫議題、提交新拉取請(qǐng)求（PR）。GitHub 的 "Merge Commit Proliferation" (MCP) 漏洞是一個(gè)嚴(yán)重的安全問題，允許攻擊者通過精心設(shè)計(jì)的惡意議題（Issue）或拉取請(qǐng)求（PR）訪問私有倉庫的敏感信息。以下是關(guān)鍵細(xì)節(jié)和應(yīng)對(duì)建議：

漏洞原理

1. 利用合并提交的差異顯示：

   • 當(dāng)用戶查看議題/PR時(shí)，GitHub 會(huì)顯示代碼差異（diff）。攻擊者可構(gòu)造特殊合并提交（merge commit），迫使GitHub的差異計(jì)算邏輯錯(cuò)誤，從而展示本不應(yīng)公開的私有代碼片段。

   • 合并提交包含多個(gè)父提交，差異計(jì)算可能跨越分支邊界，導(dǎo)致私有代碼被意外納入顯示范圍。

2. 觸發(fā)條件：

   • 攻擊者需有權(quán)限創(chuàng)建議題或PR（即使是公開倉庫的貢獻(xiàn)者）。

   • 受害者需查看惡意議題的差異內(nèi)容（如維護(hù)者審核代碼時(shí)）。

影響范圍

• 私有倉庫：攻擊者可能泄露敏感代碼、配置或密鑰。

• 內(nèi)部倉庫（GitHub Enterprise）：同樣受影響。

• 公開倉庫：若合并提交涉及私有分支，也可能信息泄露。

緩解措施

1. GitHub官方修復(fù)：

   • GitHub 已發(fā)布補(bǔ)丁（2023年確認(rèn)），建議確保使用最新版本（企業(yè)版需升級(jí)）。

   • 補(bǔ)丁改進(jìn)了差異計(jì)算邏輯，限制合并提交的顯示范圍。

2. 臨時(shí)解決方案：

   • 禁用外部貢獻(xiàn)：限制倉庫的議題/PR權(quán)限（設(shè)置 → 協(xié)作權(quán)限）。

   • 審查合并提交：謹(jǐn)慎查看來自不可信來源的合并請(qǐng)求差異。

   • 啟用審核日志：監(jiān)控異常活動(dòng)（企業(yè)版功能）。

3. 用戶自查：

   • 檢查倉庫的“Insights → Traffic”是否有異常訪問。

   • 使用GitHub的令牌掃描功能檢測意外泄露的密鑰。

技術(shù)深度

• 根本原因：GitHub的差異算法未嚴(yán)格隔離上下文邊界，導(dǎo)致合并提交可能從私有分支“繼承”代碼片段。

• 類似漏洞：此類問題屬于“供應(yīng)鏈攻擊”變種，類似以往的“提交嫁接”（Commit Splice）漏洞。

后續(xù)建議

• 企業(yè)用戶：聯(lián)系GitHub支持確認(rèn)補(bǔ)丁狀態(tài)。

• 開發(fā)者：定期輪換倉庫密鑰，即使未直接泄露。

如需驗(yàn)證特定倉庫是否受影響，可通過GitHub的API檢查合并提交歷史中的異常差異。作為應(yīng)對(duì)，該公司提出兩套防御方案：動(dòng)態(tài)權(quán)限控制，限制 AI 智能體訪問權(quán)限；持續(xù)安全監(jiān)測，通過實(shí)時(shí)行為分析和上下文感知策略攔截異常數(shù)據(jù)流動(dòng)。