Anthropic bracht het Model Context Protocol in het leven. Daarbij stond security niet per se centraal om adoptie te versnellen. Maar nu blijkt de Git MCP-server van Anthropic zelf gevoelig te zijn geweest voor meerdere kwetsbaarheden. Dit terwijl het de referentie-implementatie van MCP is voor Git; inmiddels is het lek wel gedicht.

Alle implementaties die het voorbeeld van Anthropic nauw volgden en van vóór 18 december stammen, zijn kwetsbaar. Het gaat om mcp-server-git, de referentie-implementatie van Anthropic’s Model Context Protocol voor Git. Deze moet ontwikkelaars ironisch genoeg juist tonen hoe ze op een veilige manier Git-repositories kunnen blootstellen aan door LLM’s aangestuurde agents. Shahar Tal, mede-oprichter en CEO van Cyata Security, dat het lek ontdekte, spreekt van de “canonieke” Git MCP-server. Hij stelt dat de reeks kwetsbaarheden laten zien dat het gehele MCP-ecosysteem diepere beveiliging vereist.

Drie kwetsbaarheden met grote impact

Cyata ontdekte drie afzonderlijke beveiligingslekken in de server. De eerste betreft een onbeperkte git_init-functie die repository-initialisatie op willekeurige bestandssysteempaden toestaat (CVE-2025-68143). Daarnaast is er een path validation bypass die toegang mogelijk maakt tot repositories buiten de geconfigureerde allowlist (CVE-2025-68145). Tot slot vond Cyata een argument injection-fout in de git_diff-tool, waarbij niet-gesaneerde input doorgegeven wordt aan de Git command-line interface (CVE-68144).

Het gaat wel echt om dit drietal aan cybergevaren, want in enkelvoud waren ze vele malen minder interessant voor aanvallers geweest. Wanneer exploitaties van deze kwetsbaarheden namelijk gecombineerd worden, kunnen aanvallers willekeurige bestanden lezen of verwijderen en bestanden op het hostsysteem overschrijven. Het risico neemt aanzienlijk toe wanneer de Git MCP-server samen met de Filesystem MCP-server gebruikt wordt. In die situatie kunnen aanvallers misbruik maken van Gits smudge- en clean-filters om shell-commando’s uit te voeren die gedefinieerd zijn in repository-configuratiebestanden.

Prompt injection als aanvalspad

De kwetsbaarheden zijn bijzonder verontrustend omdat MCP-servers fundamenteel zijn voor de functionaliteit van agents die op basis van LLM’s draaien. Prompt injection staat bovenaan de OWASP Top 10 voor AI-applicaties en maakt het mogelijk om LLM’s te manipuleren. Dit betekent dat de hele exploitchain getriggerd kan worden zonder credentials, shell-toegang of directe interactie met het doelsysteem.

Aanvallers kunnen de kwetsbaarheden exploiteren door content te beïnvloeden die een AI-assistent leest. Denk aan een kwaadaardig README-bestand, een vergiftigde issue-beschrijving of een gecompromitteerde webpagina. De creativiteit van een aanvaller is hier wellicht de begrenzing: als een agent vergaande privileges kent, kunnen deze geëxploiteerd worden via de vergiftiging van data.

Oplossing nabij

Cyata rapporteerde de kwetsbaarheden in juni vorig jaar aan Anthropic. Op 17 december volgden patches. De fix omvatte het volledig verwijderen van de git_init-tool uit het Git MCP-serveraanbod.

Organisaties die hun mcp-server-git-installaties nog niet hebben geüpdatet, worden dringend aangeraden dit direct te doen. Daarnaast moeten alle MCP-toolargumenten als onbetrouwbare input behandeld worden. Het is verstandig om te beperken welke MCP-servers en tools agents mogen aanroepen. Ook dienen agentpermissies holistisch geëvalueerd te worden, in plaats van tool-voor-tool.

Lees ook: OpenAI: gevaar van prompt-injectie zal mogelijk nooit verdwijnen