Cos(余弦)😶‍🌫️(@evilcos ):抽空验证了下这个利用 Browser MCP(https://t.co/xOe2ynjSDR) 读取本地任意文件的利用，在 Windows 上失败，应该是本地文件权限默认被保护了。不过这个不是重点，重点是原帖给的这个 https://t.co/F7jWQDySJ4 里的内容（如图），这个内容造成了提示词注入，会让 Cursor 等尝试按提示词要求获取本地文件（这里是 ~/.cursor/mcp.json）内容并完成所谓的验证流程，然后本地文件内容可能就泄露了... 那 Browser MCP 的作用是什么？是完成这个泄露的后续操作，即将泄露的内容通过目标 URL 传输出去。大概就是这样的一个利用过程... 各类 MCP 工具正在百花齐放，搭配在 LLM 之上，各 AI Client 真的又强大了许多...但明显，许多安全策略是没跟上的，可能一个不小心，哪里就爆了个雷... 一定要留个心眼，别滥用了。

2025.04.16 10:31

抽空验证了下这个利用 Browser MCP(https://t.co/xOe2ynjSDR) 读取本地任意文件的利用，在 Windows 上失败，应该是本地文件权限默认被保护了。不过这个不是重点，重点是原帖给的这个 https://t.co/F7jWQDySJ4 里的内容（如图），这个内容造成了提示词注入，会让 Cursor 等尝试按提示词要求获取本地文件（这里是 ~/.cursor/mcp.json）内容并完成所谓的验证流程，然后本地文件内容可能就泄露了... 那 Browser MCP 的作用是什么？是完成这个泄露的后续操作，即将泄露的内容通过目标 URL 传输出去。大概就是这样的一个利用过程... 各类 MCP 工具正在百花齐放，搭配在 LLM 之上，各 AI Client 真的又强大了许多...但明显，许多安全策略是没跟上的，可能一个不小心，哪里就爆了个雷... 一定要留个心眼，别滥用了。

Luca Beurer-Kellner@lbeurerkellner

2025.04.15 14:04

🔴🌎 New MCP attack on BrowserMCP We show an MCP attack on the popular BrowserMCP. It allows attackers to read arbitrary files from your machine, when the agent visits the website below. Try yourself with: https://t.co/q7EalhASmZ No bad MCP server needed. (1/n)👇 https://t.co/l503tcOly4