Sicherheitsforscher haben drei kritische Fehler aufgedeckt mcp-server-git, die offizielle Implementierung des Git-Servers für das Model Context Protocol (MCP) im Anthropischen Ökosystem. Laut dem Bericht der Firma Cyata erlauben diese Schwachstellen das Lesen und Löschen von beliebigen Dateien in bestimmten Kombinationen, den laufenden Code im betroffenen System - und am störendsten: Sie können durch schnelle Injektion Ich meine, manipulieren, was ein IA-Assistent zu "lesen" bekommt. Sie können die vollständige Erklärung der Forscher in ihrer technischen Erklärung bei der Blog von Cyata.
mcp-server-git ist eine Python-Bibliothek, die integrierte Tools für Sprachmodelle bietet, um mit Git-Repositories zu interagieren: lesen, suchen und ausführen von Code-Operationen programmatisch. Es ist als Referenz innerhalb des MCP-Server-Sets konzipiert und dient daher oft als Modell für Entwickler, die Agenten implementieren, die Repositories behandeln. Die Server-Sammlung selbst ist verfügbar in das MCP-Repository.
Die drei Schwachstellen haben CVE-Kennzeichen erhalten und haben bereits Korrekturen in den Projektzweigen veröffentlicht. Der erste Fehler, aufgezeichnet als CVE-2025-68143, erlaubte ein Kreuz von Routen (Weg-Traversal) während der Erstellung von Repositories, weil die git _ init Tool akzeptiert Systemrouten ohne ordnungsgemäße Validierung; die Korrektur kam in Version 2025. 9.25. Die zweite, CVE-2025-68144, besteht aus der Injektion von Argumenten, wenn Funktionen wie git _ diff und git _ checkout bestanden nutzergesteuerte Parameter direkt an Git's CLI; dies wurde im 2025.12.18 gelöst. Das dritte, CVE-2025-68145, ist eine weitere Variante des Traversalpfades, der mit der Handhabung des Flag-Repository verknüpft ist und auch in der gleichen Reihe von Patches aufgelöst wurde.
Der Umfang dieser Versagen ist nicht nur theoretisch. Forscher zeigen, wie, wenn ein Angreifer den Text beeinflussen kann, dass ein IA-Prozess - zum Beispiel mit einem schädlichen README, der Beschreibung eines Problems oder einer kompromittierten Seite - Schwachstellen mit dem MCP-Dateiserver kanalisieren kann, um den Inhalt eines Repository zu manipulieren. In seinem Szenario konvertiert der Gegner einen einzelnen Ordner in ein Git-Repository, schreibt eine .git / config-Konfiguration mit einem schädlichen "sauberen" Filter, erstellt eine .gitattributes, die diesen Filter auf bestimmte Dateien anwendet, ein Skript mit der Nutzlast und eine Datei, die den Filter aktiviert, und schließlich läuft git _ add: dabei läuft der "saubere" Filter und damit der Code des Angreifers. Die Technik basiert auf legitimen Git-Eigenschaften, wie in .gitattributes, die Ihre Erkennung erschwert, wenn es keine zusätzlichen Sicherheitsmaßnahmen gibt.
Das Projektarchiv der in der Demonstration verwendeten Dateisystemkomponente ist ebenfalls öffentlich und gehört zum MCP-Server-Set: Dateisystem MCP Server. Diese Integration der Fähigkeiten auf dem Dateisystem zu bedienen und die Leichtigkeit der Orchestrierung von Aktionen durch Aufforderungen ist genau das, was Verwundbarkeit besonders zart macht: der Angriffsvektor kann entfernt sein und erfordert nicht vor dem Zugriff auf den gefährdeten Host.
Als Reaktion auf die Tests haben die Betreuer konkrete Maßnahmen ergriffen: unter anderem wurde das git _ init tool entfernt und Validierungen wurden verstärkt, um grundlegende Traversal primitive zu verhindern. Die Empfehlung für jeden Bibliotheksbenutzer ist, die Versionen mit den Korrekturen so schnell wie möglich zu aktualisieren. und Überprüfung von Bereitstellungen, bei denen MCP-basierte Agenten Schreibgenehmigungen oder die Möglichkeit haben, Systembefehle auszuführen.
Jenseits des Patches sind die Beobachtungen von Cyata ein Weckruf für das gesamte Ökosystem. Wie Shahar Tal, der Mitbegründer und CEO des Unternehmens, betonte, dass die Referenz-Implementierung solcher Fehler nahelegt, dass sowohl Referenzbibliotheken als auch gemeinsame Integrationsmuster zwischen LLMs und Systemressourcen einer gründlicheren Kontrolle unterliegen sollten. Das Risiko ist nicht nur, dass eine Referenz einen Ausfall enthält, sondern dass eine Vielzahl von Derivatisierungen sie ohne Verantwortung oder entsprechende Patches ziehen können.
Für Entwickler und Sicherheitsbeamte ist die praktische Lektion klar: die Schnittstellen, die Operationen auf dem Dateisystem aussetzen oder native Tools aufrufen, benötigen strenge Eingangsvalidierung, Mindestprivilegien und die laufende Isolation. In Umgebungen, in denen Sprachmodelle externe Inhalte verarbeiten oder mit Systemressourcen interagieren, sollten zusätzliche Barrieren - zum Beispiel Container mit begrenzten Genehmigungen, vorherige Analyse potenziell gefährlicher Aufforderungen und automatisierter Code-Rezensionen - hinzugefügt werden, um das Risiko einer legitimen Befehlskette zu mindern, die in Betrieb ist.
Wenn Sie die offiziellen Korrekturen und Mitteilungen vertiefen möchten, können Sie die im Projektarchiv veröffentlichten Sicherheitsseiten überprüfen: CVE-2025-68143, CVE-2025-68144 und CVE-2025-68145. Für technische Forschung und Ausbeutungsbeispiele ist Cyatas Analyse auf ihrem Blog auf cyata.ai, und die MCP-Referenz-Implementierung kann auf GitHub. Die Aufrechterhaltung aktueller Einheiten und die Prüfung der Integration zwischen IA-Agenten und Systemressourcen ist heute mehr denn je eine wesentliche Praxis.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...