חוקרים ישראלים חשפו שרשרת חולשות אבטחה בשרת אנתרופיק

חוקרי חברת הסייבר Cyata חשפו שרשרת של חולשות אבטחה ב-mcp-server-git, שרת ה-Git MCP - Model Context Protocol הרשמי של אנתרופיק, המשמש כמודל עבור מפתחים ברחבי העולם. לפי החוקרים, כאשר החולשות משולבות זו עם זו וביחד עם שרת ה-Filesystem MCP, הן מאפשרות הרצת קוד מרחוק, המופעלת כולה באמצעות prompt injection, ללא צורך בגישה ישירה למערכת של הקורבן.

חוקרי Cyata זיהו שלוש חולשות נפרדות המשפיעות על גרסאות של mcp-server-git שקדמו ל-18 בדצמבר 2025, יום בו תוקנה החולשה. תוקף שיכול להשפיע על התוכן שה-AI קורא, כמו קובץ README זדוני, תיאור נושא או דף אינטרנט, יכול לנצל את הכשלים כדי לקרוא או למחוק קבצים במערכות הקרבן ואף להריץ קוד על המערכת המארחת. חשוב לציין כי השרת הפגוע הוא המימוש הרשמי של Anthropic ל-MCP עבור Git, שנועד להדגים למפתחים את הדרך הנכונה והמאובטחת לבניית אינטגרציות MCP.

"זהו שרת ה-Git MCP הרשמי מבית Anthropic, ולכן הוא משמש כמודל הסטנדרט וכרפרנס מקצועי עבור מפתחים - זה שמעתיקים ממנו או שואבים ממנו השראה," אמר שחר טל, מנכ״ל ומייסד-שותף של Cyata. "אם גבולות האבטחה נפרצים אפילו כאן, זה סימן שכל תחום ה-MCP זקוק לבחינה מעמיקה יותר. אלה לא מקרי קצה או קונפיגורציות אקזוטיות אלא בתוך הליבה."

Cyata חשפה שלוש חולשות. ראשונה היא יכולת git_init ללא הגבלות שאפשרה אתחול מאגרי Git בנתיבים שרירותיים במערכת הקבצים. שנית, עקיפה של ולידציית נתיבים (Path Validation Bypass) שאפשרה גישה למאגרים מחוץ ל-allowlist שהוגדר. חולשה אחרונה היא הזרקת ארגומנטים (Argument Injection)  ב-git_diff, שהעבירה קלט משתמש לא מסונן ל-Git CLI ואפשרה דריסה שרירותית של קבצים.

• מנכ"ל אנתרופיק מזהיר: מכירת שבבי AI מתקדמים לסין מסכנת את הביטחון הלאומי
• אנתרופיק בוחנת גיוס לפי שווי של כ־350 מיליארד דולר
• המלצת המערכת: כל הכותרות 24/7

ה-Security Advisory שהוא פרסום החולשות הרשמי, של GitHub מסווג את החולשות בדרגת חומרה בינונית לפי CVSS 4.0 ‏(6.3–6.5), בעוד שמאגר ה-advisories של GitLab מסווג אותן כחומרה גבוהה לפי CVSS 3.1 ‏(7.1–8.8). הבדל זה משקף את המעבר האחרון של GitHub ל-CVSS 4.0, המשתמש בגישת ניקוד שונה.

תוקף יכול לשלוט במה שה-AI קורא

כאשר משלבים את החולשות עם שרת ה-Filesystem MCP, הן מאפשרות מסלול תקיפה מלא להרצת קוד מרחוק באמצעות ניצול פילטרים של Git (מסוג smudge ו-clean), המריצים פקודות Shell המוגדרות בקבצי הקונפיגורציה של המאגר. מכיוון ששרתי MCP מבצעים פעולות על בסיס החלטות של מודלי שפה , ומכיוון שמודלים אלו ניתנים למניפולציה באמצעות prompt injection, תוקף יכול להפעיל את כל השרשרת הזו פשוט על ידי שליטה בתוכן שה-AI קורא. אין צורך בגישת shell, בהרשאות, או באינטראקציה ישירה עם מערכת היעד.

"המחקר הזה ממחיש איך תפיסות מסורתיות לגבי גבולות אמון, פשוט מתפרקות ברגע שמודלי שפה הופכים לחלק מתהליך קבלת ההחלטות," אמר ברוך ויצמן, CTO ומייסד-שותף ב-Cyata. "כלים שנחשבים בטוחים כשהם עומדים בפני עצמם, הופכים לסיכון משמעותי ברגע שלתוקף יש שליטה על התוצרים של המודל."

• "אני מתנגד לחוקים מחייבים ונוקשים בתחום ה-AI, צריך לקבוע כללים אתיים"
• Deep33 מגייסת 150 מיליון דולר: תשתיות ה-AI על הכוונת
• תוכן שיווקי שוק הסקנדרי בישראל: הציבור יכול כעת להשקיע ב-SpaceX של אילון מאסק
• עם 100 מיליון דולר הכנסות חוזרות - מתי תהיה הנפקה או אקזיט?

כלי git_init הוסר לחלוטין לאחר ש-Cyata דיווחה ל-Anthropic על הממצאים, אולם החולשות משפיעות על כל פריסות ברירת המחדל של mcp-server-git לפני 18 בדצמבר 2025. 

חוקרי החברה ממליצים לארגונים לשדרג באופן מיידי לגרסה העדכנית של mcp-server-git, להתייחס לכל הארגומנטים של כלי MCP כקלט לא מהימן, להגביל אילו שרתי MCP וכלים סוכנים מורשים להפעיל, ולהעריך הרשאות של סוכנים באופן כולל ולא פרטני.