主要观点：GitHub 的官方 MCP 服务器赋予语言模型新能力，包括读取和处理用户有权访问的存储库中的问题并提交新的拉取请求，这形成了提示注入的“致命三连击”。Marco Milanta 和 Luca Beurer-Kellner 发现利用该漏洞可让语言模型代理泄露 MCP 用户的私人信息，通过在对语言模型可见的公共存储库中提交恶意问题来实现，关键攻击点是“用户正在处理的所有其他存储库”，示例中用户让 Claude 查看问题就会触发导致私人信息泄露的序列，作者之前就担心多个 MCP 服务器组合会引发攻击，而 GitHub 的 MCP 恰好将三种要素合于一体，且不知最佳修复方法，建议终端用户使用 MCP 时要非常小心。
关键信息：GitHub MCP 服务器赋予语言模型新能力；发现利用 MCP 漏洞泄露用户私人信息的攻击方式；担心多个 MCP 服务器组合引发攻击；GitHub MCP 结合三种攻击要素；建议终端用户小心使用 MCP。
重要细节：攻击通过在公共存储库提交恶意问题，让语言模型读取用户所有仓库的 README 文件等操作来实现；用户让 Claude 查看问题就会触发泄露私人信息的序列；作者之前曾讨论 MCP 的提示注入安全问题；不知如何最佳修复此漏洞。