CVE-2025-6514:最广泛使用的 MCP 库中的远程代码执行漏洞
2026 年 1 月,安全研究人员披露了 CVE-2025-6514 — 这是一个 CVSS 9.6 远程代码执行漏洞,存在于 mcp-remote 中,这是部署最广泛的 MCP 传输库。该漏洞允许攻击者通过利用库的 WebSocket 处理器中的不安全反序列化路径,在主机上执行任意代码。任何使用 mcp-remote 进行远程传输的 MCP 服务器或客户端都受到影响。
这不是理论风险。MCP 生态系统目前每月下载量超过 9,700 万次,涵盖 npm、PyPI 和 crates.io。仅 mcp-remote 就占了超过 1,200 万次。该库是数十个热门自动化平台、AI 代理框架和企业中间件的依赖项。单一漏洞的影响范围可达数万个生产部署。
补丁在 72 小时内发布,但采用速度缓慢。截至 2026 年 3 月,约 30% 的安装仍在运行未修补版本。该漏洞在 CVE 发布后数天内就在实际环境中被积极利用。
MCP 安全暴露的规模
CVE-2025-6514 并非孤立事件。MCP 生态系统自协议初始发布以来已累积超过 30 个 CVE,涵盖身份验证绕过、工具投毒、通过工具描述进行的提示注入以及未授权的数据外泄。2026 年 Trail of Bits 的审计发现,38% 的公开列出的 MCP 服务器缺乏任何形式的身份验证。
工具投毒攻击 — 恶意 MCP 服务器宣传带有操纵描述的工具,旨在欺骗 LLM 执行有害操作 — 已在至少六起公开事件中被记录。Rug-pull 攻击利用大多数 MCP 客户端缓存工具 schema 但不在执行时重新验证的事实。
通过工具描述进行的提示注入尤其隐蔽。一个 MCP 服务器可以在其工具描述中嵌入指令,影响 LLM 在整个对话中的行为,而不仅仅是特定的工具调用。
Zapier 的回应:AI 护栏
Zapier 在 2026 年 2 月发布了 AI Guardrails — 为个别 Zap 添加输出安全检查的功能。这是一个合理的产品更新,但输出护栏本质上是最后一步检查。它们评估自动化已经运行后的输出结果,不控制输入、执行方式、工具审批或供应链的可信度。
在最热门的传输库刚刚出现 CVSS 9.6 RCE 漏洞的生态系统中,供应链问题才是最重要的。
差距:8,000+ 连接器,零供应链治理
Zapier 的集成市场列出超过 8,000 个连接器。这些连接器未经 MCP 特定攻击向量的审计:工具投毒、schema 操纵、通过工具描述的提示注入或传输层中的反序列化漏洞。输出护栏无法捕获在执行过程中通过旁路通道外泄数据的供应链攻击。
结构性问题在于护栏在错误的层级运作。在现代 AI 自动化堆栈中,威胁从供应链层、输入层、执行层和输出层进入。护栏仅处理输出层。其他三层仍然不受保护。
JieGou 的方法:认证集成与 10 层治理
JieGou 维护 250+ 个认证集成,通过 3 级审查流程:
- 已验证 — 集成按文档运作。API 合约匹配。错误处理正确。
- 已认证 — 集成已针对 MCP 特定攻击向量进行审计。工具描述已审查提示注入潜力。传输层已对照已知 CVE 进行检查。
- 企业就绪 — 集成满足受管制行业的额外要求:数据驻留合规、审计轨迹完整性、静态和传输中的加密。
当 CVE-2025-6514 被披露时,JieGou 的安全团队能够在 48 小时内审计所有 250+ 个集成,确认没有使用易受攻击的 mcp-remote 传输路径。
JieGou 的 10 层治理堆栈将保护延伸到集成目录之外。输入验证在执行前检查提示注入。工具审批门禁要求每个集成的明确按角色授权。GovernanceScore 提供跨所有 10 层的持续量化指标(0-100)。
我们的集成经过认证。你的呢?
CVE-2025-6514 是一个警钟。输出护栏是合理的第一步,但不是安全架构。JieGou 的 250+ 个认证集成和 10 层治理堆栈专为 MCP 引入的威胁模型而建。每个集成都经过审查。每一层都受到监控。每个操作都被记录。
了解 JieGou 的 MCP 治理如何比较。探索 MCP 治理功能 或 开始免费试用。