非人類身分(NHI)安全業者Oasis Security於5月21日揭露,微軟程式碼編輯器Visual Studio Code的MCP安裝對話框存在高風險漏洞CVE-2026-41613,攻擊者可透過特製安裝連結,在開發者電腦上執行指令。
Oasis指出,VS Code可讓使用者透過網頁、文件或聊天訊息中的單一連結,將MCP伺服器加入開發者工作區。使用者點擊連結,並在安裝預覽對話框按下Install後,相關組態便會寫入工作區的MCP設定。
問題在於,VS Code安裝預覽畫面只顯示部分MCP設定,包括伺服器名稱(name)、類型(type)、命令(command)與引數(arguments)等資訊,但實際寫入工作區的內容還包含未顯示的組態項目,涵蓋環境變數(environment variables,env)、環境檔案(environment file,envFile)、HTTP標頭(HTTP headers,headers)與工作目錄(working directory,cwd)。由於VS Code當時不會阻擋這些組態寫入,也不會檢查內容或提醒使用者,因此,攻擊者可把惡意內容藏入未顯示的組態項目,讓使用者在安裝前無從察覺。
Oasis說明,攻擊者可利用這些未揭露的MCP組態項目,寫入影響程式啟動行為的設定,使程式先執行攻擊者指定的程式碼,再執行MCP伺服器本身的邏輯,進而植入shell或執行其他動作。由於組態會留在工作區,即使系統重新開機或整合式開發環境重新啟動,攻擊者植入的設定仍可能繼續生效。
這項漏洞不只會帶來程式碼執行風險,也可能形成隱蔽的連線階段劫持行為,使攻擊者接管MCP工具連接對外服務時的連線身分。攻擊者可將自己的登入憑證藏入安裝連結,使MCP工具改以攻擊者帳號連接線上服務;開發者後續透過AI助理讀取檔案、傳送訊息或修改內容時,相關操作都可能以攻擊者帳號完成,並留下攻擊者可查看的紀錄。
微軟已在VS Code 1.119.1修補這項問題,藉由在確認畫面顯示env、envFile與headers等設定項目,讓使用者在安裝前看到可能影響程式執行或身分驗證的組態內容,降低攻擊風險。
在防護措施上,Oasis建議組織儘速將VS Code更新至1.119.1或以上版本,並檢查各工作區的mcp.json設定,確認是否存在非開發者自行加入的env、envFile、headers或cwd項目;特別要留意含有--import的NODE_OPTIONS值,以及HTTP類型伺服器中預先填入的Authorization標頭。企業也應盤點開發環境中的MCP伺服器、AI代理與AI助理,以及各自使用或持有的憑證,並將MCP伺服器與AI代理納入企業身分治理範圍,建立政策控管、即時存取管理與完整稽核機制。
