🎉【Gate 3000万纪念】晒出我的Gate时刻,解锁限量好礼!
Gate用户突破3000万!这不仅是数字,更是我们共同的故事。
还记得第一次开通账号的激动,抢购成功的喜悦,或陪伴你的Gate周边吗?
📸 参与 #我的Gate时刻# ,在Gate广场晒出你的故事,一起见证下一个3000万!
✅ 参与方式:
1️⃣ 带话题 #我的Gate时刻# ,发布包含Gate元素的照片或视频
2️⃣ 搭配你的Gate故事、祝福或感言更佳
3️⃣ 分享至Twitter(X)可参与浏览量前10额外奖励
推特回链请填表单:https://www.gate.com/questionnaire/6872
🎁 独家奖励:
🏆 创意大奖(3名):Gate × F1红牛联名赛车模型一辆
👕 共创纪念奖(10名): 国际米兰同款球员卫衣
🥇 参与奖(50名):Gate 品牌抱枕
📣 分享奖(10名):Twitter前10浏览量,送Gate × 国米小夜灯!
*海外用户红牛联名赛车折合为 $200 合约体验券,国米同款球衣折合为 $50 合约体验券,国米小夜灯折合为 $30 合约体验券,品牌抱枕折合为 $20 合约体验券发放
🧠 创意提示:不限元素内容风格,晒图带有如Gate logo、Gate色彩、周边产品、GT图案、活动纪念品、活动现场图等均可参与!
活动截止于7月25日 24:00 UTC+8
3
在 Anthropic MCP Inspector 中发现严重 RCE 缺陷 CVE-2025-49596
HomeNews* 研究人员发现了 Anthropic 的模型上下文协议 (MCP) 检查工具中的一个重大安全漏洞,可能使远程代码执行成为可能。
Anthropic 于2024年11月推出了MCP,作为大型语言模型(LLM)应用程序访问和交换外部资源数据的开放标准。受该漏洞影响的MCP Inspector工具帮助开发者使用客户端界面和代理服务器测试和调试这些连接。
主要安全风险发生是因为早期版本的MCP Inspector不要求身份验证或对本地连接使用加密。这使得系统在MCP服务器可被公共或本地网络访问时暴露于攻击中。攻击者可以将一个已知的浏览器漏洞,称为“0.0.0.0日”,与跨站请求伪造(CSRF)漏洞结合起来,在开发者访问恶意网站时执行恶意命令。
研究人员展示了代理服务器的默认设置可以监听所有IP地址——包括内部地址——使其可以从恶意网页访问。该攻击还可以利用DNS重绑定,诱使浏览器将攻击者的地址识别为受信任的地址。
在四月份通知问题后,Anthropic于6月13日发布了MCP Inspector的0.14.1版本。该更新为代理服务器添加了强制会话令牌,并检查传入请求的来源,阻止CSRF和DNS重绑定攻击方法。根据项目维护者的说法,"该缓解措施添加了在修复之前缺失的授权,以及验证HTTP中的Host和Origin头,确保客户端确实来自一个已知的受信域。"
使用旧版本MCP Inspector的开发者和组织建议立即更新,并检查他们的网络配置,以避免将MCP服务器暴露于不受信任的网络。