Model Context Protocol SDK 漏洞链：hono、express-rate-limit 高危依赖风险曝光

一个关键的供应链安全漏洞链正通过流行的 `@modelcontextprotocol/sdk` 传播，将多个中高危风险直接引入依赖它的项目。安全审计显示，使用版本 `1.27.1` 的 SDK 会拉入三个存在已知漏洞的传递依赖包，其中 `express-rate-limit` 的绕过漏洞被标记为高严重性，构成直接的安全威胁。此次暴露的风险并非孤立问题，而是一条清晰的依赖污染路径，凸显了现代软件供应链中“上游污染、下游遭殃”的典型脆弱性。

具体而言，`npm audit` 报告了三个漏洞，源头均指向 `@modelcontextprotocol/[email protected]`。首先是 `hono` 框架（版本 ≤ 4.12.11），其中包含五个已公开的 CVE 漏洞，被评估为中等风险。其次是 `@hono/node-server`（版本 < 1.19.13），存在编号为 GHSA-92pp-h63x-v22m 的安全公告。最严重的是 `express-rate-limit` 库的漏洞，攻击者可利用其绕过速率限制机制，该漏洞被标记为高优先级（P1）。这三个漏洞通过 SDK 这一单一入口点，悄无声息地渗透到下游应用中。

目前，官方修复方案明确：将 `@modelcontextprotocol/sdk` 升级至 `1.29.0` 或更高版本，即可一次性解决所有三个依赖问题，因为新版本 SDK 拉取的已是修复后的 `hono` (≥4.12.12) 和 `@hono/node-server` (≥1.19.13)。此事件对依赖该 SDK 的开发者与项目团队构成直接压力，需立即采取行动升级。这也再次敲响警钟，提醒开发者在依赖管理上必须保持高度警惕，对上游间接依赖的漏洞传递风险进行持续监控。