AI厂商将安全漏洞推卸给用户，责任意识严重缺失

观点 AI厂商一边鼓吹”用AI解决一切问题”，一边在自家产品出现安全漏洞时声称”这是预期行为”。这种双重标准正愈发普遍。

这一现象背后的逻辑令人不安：各大AI厂商反复告诉企业，AI是检测和拦截安全威胁的最佳工具。但当AI系统自身存在安全缺陷时，他们的第一反应往往是”这是设计层面的风险”或”符合预期的运行方式”。运气好的话，相关厂商可能会悄悄在技术文档里补充几条安全注意事项，但根本问题始终得不到解决。某些情况下，例如提示注入（prompt injection）漏洞，厂商即便有心修复，技术上也难以实现。

近期发生的两起事件很能说明问题。

安全研究人员发现，三款与GitHub Actions集成的主流AI智能体存在被劫持的风险，攻击者可借此窃取API密钥和访问令牌。这三款智能体分别是Anthropic的Claude Code Security Review、谷歌的Gemini CLI Action以及微软的GitHub Copilot。三家厂商均向研究人员支付了漏洞赏金：Anthropic支付了100美元，并将漏洞严重等级从9.3上调至9.4，同时更新了文档中的”安全注意事项”部分；谷歌支付了1337美元；GitHub则在最初以”已知问题”为由表示”无法复现”之后，最终向研究人员支付了500美元。

值得注意的是，三家厂商均未为上述漏洞分配CVE编号，也未发布公开的安全公告。

另一组漏洞猎人则披露了Anthropic的模型上下文协议（MCP）中存在的设计缺陷。据称，这一缺陷使多达20万台服务器面临被完全接管的风险。

研究人员”多次”要求Anthropic从根源上修复该问题，但均被告知协议运行符合预期——尽管已有10个（目前为止）与MCP相关的高危及严重级别CVE被相继披露，涉及多款使用MCP的开源工具和AI智能体。

研究人员认为，若能从根本上修复这一漏洞，可有效降低总下载量超过1.5亿次的软件包所面临的风险，并为数以百万计的下游用户提供保护。

对此，Anthropic给出的解释是：这属于预期行为。该公司对研究人员表示：”这是MCP stdio服务器工作方式的明确组成部分，我们认为该设计并不代表一种安全的默认配置。”

这意味着，保障这些复杂的、非确定性AI系统安全的责任，再一次被转移给了企业IT部门或终端用户。在这起案例中，受影响的群体包括：在应用程序或开源项目中使用Anthropic官方MCP软件开发工具包的开发者，以及将相关开源代码和AI工具引入自身环境的各类企业。

更宏观地看，当前美国联邦层面对AI公司几乎不存在任何有效监管——这一现状耐人寻味。就在上周，Anthropic还警告称，其最新模型在发现安全漏洞方面能力过于强大，向公众开放存在极大风险。试想，在哪个行业里，一家公司能够公开宣称”我们的产品对所有人构成严重威胁”，却依然能够毫无顾忌地继续运营？

成熟与担当，意味着对自己的选择和行为负责，承认错误、积极弥补、并从中吸取教训以求进步。AI公司这种”与我无关”的推诿态度，将安全责任一股脑甩给他人，折射出的是整个行业成熟度的严重缺失，甚至是基本商业道德的沦丧。人们不禁要问：用户和客户还要多久，才会对此得出同样的结论？

Q&A

Q1：AI智能体集成GitHub Actions存在什么安全漏洞？

A：研究人员发现，Anthropic的Claude Code Security Review、谷歌的Gemini CLI Action以及微软的GitHub Copilot三款AI智能体，在与GitHub Actions集成时存在被劫持的风险，攻击者可借此窃取API密钥和访问令牌。三家厂商虽支付了漏洞赏金，但均未分配CVE编号，也未发布公开安全公告，处理方式较为低调。

Q2：Anthropic的MCP协议漏洞有多严重？

A：研究人员披露，Anthropic模型上下文协议（MCP）存在设计层面的缺陷，可能导致多达20万台服务器面临被完全接管的风险。该漏洞涉及的软件包总下载量超过1.5亿次，影响数百万下游用户。尽管研究人员多次要求从根源修复，Anthropic仍坚持认为这是”预期行为”，拒绝从底层解决问题。

Q3：AI厂商为何不愿修复自身产品的安全漏洞？

A：从现有案例来看，AI厂商倾向于将设计缺陷定性为”预期行为”或”已知风险”，从而规避修复责任，将安全压力转嫁给开发者和企业用户。部分漏洞（如提示注入）在技术上确实难以从根本解决，但更多情况下，厂商缺乏主动承担责任的意愿，加之目前美国联邦层面对AI公司的监管几乎空白，这一现象短期内难以得到根本改变。