漏洞概述 漏洞类型: MCP服务器绑定地址安全风险 漏洞描述: MCP(Model Context Protocol)服务器存在可被绑定到任意网络端口的安全隐患,攻击者可能利用此漏洞将MCP服务器暴露到公网,造成未授权访问风险。 影响范围 受影响组件: CLI工具中的MCP功能模块 具体文件: - - 测试文件 - - MCP服务器启动逻辑 - - 文档 修复方案 核心变更: 移除 参数,强制MCP服务器仅使用标准输入输出(stdio)通信,禁止绑定到TCP端口。 关键代码变更 1. 移除bind参数定义(start.go) 2. 修改服务器启动逻辑(start.go) 原代码(存在漏洞): 修复后代码: 3. 重构BuildServer函数返回服务器实例 4. 文档更新(commands.mdx) 删除上述bind参数文档,仅保留stdio模式说明。 5. 测试代码重构(mcp_test.go) 修复效果