GitHub MCP漏洞曝光：攻击者可借歹意议题拜访私有库房

6 月 1 日消息，GitHub 官方 MCP 服务器可赋予大语言模型多项新能力，包括读取用户有权访问的仓库议题、提交新拉取请求（PR）。GitHub 的 "Merge Commit Proliferation" (MCP) 漏洞是一个严重的安全问题，允许攻击者通过精心设计的恶意议题（Issue）或拉取请求（PR）访问私有仓库的敏感信息。以下是关键细节和应对建议：

漏洞原理

1. 利用合并提交的差异显示：

   • 当用户查看议题/PR时，GitHub 会显示代码差异（diff）。攻击者可构造特殊合并提交（merge commit），迫使GitHub的差异计算逻辑错误，从而展示本不应公开的私有代码片段。

   • 合并提交包含多个父提交，差异计算可能跨越分支边界，导致私有代码被意外纳入显示范围。

2. 触发条件：

   • 攻击者需有权限创建议题或PR（即使是公开仓库的贡献者）。

   • 受害者需查看恶意议题的差异内容（如维护者审核代码时）。

影响范围

• 私有仓库：攻击者可能泄露敏感代码、配置或密钥。

• 内部仓库（GitHub Enterprise）：同样受影响。

• 公开仓库：若合并提交涉及私有分支，也可能信息泄露。

缓解措施

1. GitHub官方修复：

   • GitHub 已发布补丁（2023年确认），建议确保使用最新版本（企业版需升级）。

   • 补丁改进了差异计算逻辑，限制合并提交的显示范围。

2. 临时解决方案：

   • 禁用外部贡献：限制仓库的议题/PR权限（设置 → 协作权限）。

   • 审查合并提交：谨慎查看来自不可信来源的合并请求差异。

   • 启用审核日志：监控异常活动（企业版功能）。

3. 用户自查：

   • 检查仓库的“Insights → Traffic”是否有异常访问。

   • 使用GitHub的令牌扫描功能检测意外泄露的密钥。

技术深度

• 根本原因：GitHub的差异算法未严格隔离上下文边界，导致合并提交可能从私有分支“继承”代码片段。

• 类似漏洞：此类问题属于“供应链攻击”变种，类似以往的“提交嫁接”（Commit Splice）漏洞。

后续建议

• 企业用户：联系GitHub支持确认补丁状态。

• 开发者：定期轮换仓库密钥，即使未直接泄露。

如需验证特定仓库是否受影响，可通过GitHub的API检查合并提交历史中的异常差异。作为应对，该公司提出两套防御方案：动态权限控制，限制 AI 智能体访问权限；持续安全监测，通过实时行为分析和上下文感知策略拦截异常数据流动。