CVE-2025-6514:最廣泛使用的 MCP 函式庫中的遠端程式碼執行漏洞
2026 年 1 月,安全研究人員披露了 CVE-2025-6514 — 這是一個 CVSS 9.6 遠端程式碼執行漏洞,存在於 mcp-remote 中,這是部署最廣泛的 MCP 傳輸函式庫。該漏洞允許攻擊者透過利用函式庫 WebSocket 處理器中的不安全反序列化路徑,在主機上執行任意程式碼。任何使用 mcp-remote 進行遠端傳輸的 MCP 伺服器或客戶端都受到影響。
這不是理論風險。MCP 生態系統目前每月下載量超過 9,700 萬次,涵蓋 npm、PyPI 和 crates.io。僅 mcp-remote 就佔了超過 1,200 萬次。該函式庫是數十個熱門自動化平台、AI 代理框架和企業中介軟體的依賴項。單一漏洞的影響範圍可達數萬個生產部署。
修補程式在 72 小時內發布,但採用速度緩慢。截至 2026 年 3 月,約 30% 的安裝仍在運行未修補版本。該漏洞在 CVE 發布後數天內就在實際環境中被積極利用。
MCP 安全暴露的規模
CVE-2025-6514 並非孤立事件。MCP 生態系統自協議初始發布以來已累積超過 30 個 CVE,涵蓋身份驗證繞過、工具投毒、透過工具描述進行的提示注入以及未授權的資料外洩。2026 年 Trail of Bits 的審計發現,38% 的公開列出的 MCP 伺服器缺乏任何形式的身份驗證。
工具投毒攻擊 — 惡意 MCP 伺服器宣傳帶有操縱描述的工具,旨在欺騙 LLM 執行有害操作 — 已在至少六起公開事件中被記錄。Rug-pull 攻擊利用大多數 MCP 客戶端快取工具 schema 但不在執行時重新驗證的事實。
透過工具描述進行的提示注入尤其隱蔽。一個 MCP 伺服器可以在其工具描述中嵌入指令,影響 LLM 在整個對話中的行為,而不僅僅是特定的工具調用。
Zapier 的回應:AI 護欄
Zapier 在 2026 年 2 月發布了 AI Guardrails — 為個別 Zap 添加輸出安全檢查的功能。這是一個合理的產品更新,但輸出護欄本質上是最後一步檢查。它們評估自動化已經運行後的輸出結果,不控制輸入、執行方式、工具審批或供應鏈的可信度。
在最熱門的傳輸函式庫剛剛出現 CVSS 9.6 RCE 漏洞的生態系統中,供應鏈問題才是最重要的。
差距:8,000+ 連接器,零供應鏈治理
Zapier 的整合市場列出超過 8,000 個連接器。這些連接器未經 MCP 特定攻擊向量的審計:工具投毒、schema 操縱、透過工具描述的提示注入或傳輸層中的反序列化漏洞。輸出護欄無法捕獲在執行過程中透過旁路通道外洩資料的供應鏈攻擊。
結構性問題在於護欄在錯誤的層級運作。在現代 AI 自動化堆疊中,威脅從供應鏈層、輸入層、執行層和輸出層進入。護欄僅處理輸出層。其他三層仍然不受保護。
JieGou 的方法:認證整合與 10 層治理
JieGou 維護 250+ 個認證整合,通過 3 級審查流程:
- 已驗證 — 整合按文件運作。API 合約匹配。錯誤處理正確。
- 已認證 — 整合已針對 MCP 特定攻擊向量進行審計。工具描述已審查提示注入潛力。傳輸層已對照已知 CVE 進行檢查。
- 企業就緒 — 整合滿足受管制行業的額外要求:資料駐留合規、審計軌跡完整性、靜態和傳輸中的加密。
當 CVE-2025-6514 被披露時,JieGou 的安全團隊能夠在 48 小時內審計所有 250+ 個整合,確認沒有使用易受攻擊的 mcp-remote 傳輸路徑。
JieGou 的 10 層治理堆疊將保護延伸到整合目錄之外。輸入驗證在執行前檢查提示注入。工具審批門禁要求每個整合的明確按角色授權。GovernanceScore 提供跨所有 10 層的持續量化指標(0-100)。
我們的整合經過認證。你的呢?
CVE-2025-6514 是一個警鐘。輸出護欄是合理的第一步,但不是安全架構。JieGou 的 250+ 個認證整合和 10 層治理堆疊專為 MCP 引入的威脅模型而建。每個整合都經過審查。每一層都受到監控。每個操作都被記錄。
了解 JieGou 的 MCP 治理如何比較。探索 MCP 治理功能 或 開始免費試用。