简介一个影响 Context7 MCP 服务器的关键漏洞已被安全研究人员披露该服务器是广泛用于向 AI 编程助手提供文档的工具。该漏洞被称为 ContextCrush可能允许攻击者通过受信任的文档渠道向 AI 开发工具注入恶意指令。 该漏洞由 Noma Labs 研究人员在由 Upstash 运营的 Context7 平台上发现。Context7 被开发者用于在集成开发环境中直接为 Cursor、Claude Code 和 Windsuf 等 AI 助手提供最新的库文档。详情漏洞源于平台的 Custom Rules自定义规则 功能库维护者可通过该功能向 AI 提供专用指令帮助助手更好地解析文档。研究人员发现这些指令会原样下发给 AI不经过任何过滤或净化。 由于指令通过受信任的 MCP 服务器传输AI 会将其视为合法指引并以开发者电脑的权限执行。 这意味着攻击者可在文档注册库中植入恶意规则并借助 Context7 的基础设施分发给开发者的 AI 工具且无需与受害者系统直接交互。 研究人员概述了一种典型的攻击链· 使用 GitHub 账号在 Context7 注册新库· 在 Custom Rules 中插入恶意指令· 等待开发者通过 AI 编程助手查询该库· 触发后AI 会利用现有系统权限执行有害操作Noma Labs 还强调GitHub 声誉、热度排名、信任评分等指标均可被操纵恶意库可轻易伪装成可信库。测试中研究人员成功演示了被投毒的库条目如何攻陷开发环境。AI 助手被指令搜索敏感 .env 文件、将内容传到攻击者控制的仓库并以 “清理任务” 为名删除本地文件。由于指令与合法文档一同下发AI 无法可靠区分。在 2 月 18 日漏洞披露后Upstash 次日开始修复并于 2 月 23 日正式发布补丁加入规则净化与额外安全防护。目前无证据表明该漏洞已被实际利用。
)
