Протокол MCP уражено вразливістю RCE на рівні проєктування; Anthropic відмовляється вносити зміни в архітектуру

Повідомлення Gate News, 21 квітня — компанія з безпеки OX Security розкрила вразливість (RCE) з віддаленим виконанням коду на рівні проєктування в MCP (Model Context Protocol), відкритому стандарті для AI-агентів, щоб викликати зовнішні інструменти, яким керує Anthropic. Зловмисники можуть виконувати довільні команди на будь-якій системі, що працює з уразливою реалізацією MCP, отримуючи доступ до даних користувача, внутрішніх баз даних, ключів API та історій чатів.

Недолік виникає не через помилки реалізації, а через стандартну поведінку в офіційному SDK від Anthropic під час обробки транспорту STDIO — це стосується версій для Python, TypeScript, Java та Rust. StdioServerParameters в офіційному SDK безпосередньо запускає підпроцеси на основі параметрів команд конфігурації; без додаткового очищення введених даних розробниками будь-яке введення користувача, що потрапляє на цьому етапі, стає системною командою. OX Security визначила чотири вектори атаки: пряме впровадження команд через інтерфейси конфігурації, обходження очищення за допомогою прапорців команд зі списку дозволених (e.g., npx -c ), prompt injection у IDE для переписування файлів конфігурації MCP для інструментів на кшталт Windsurf, щоб запустити шкідливі STDIO-сервіси без взаємодії з користувачем, а також інжектування STDIO-конфігурацій через HTTP-запити в маркетплейсах MCP.

За даними OX Security, уражені пакети були завантажені понад 150 мільйонів разів, а понад 7,000 публічно доступних MCP-серверів розкривають до 200,000 інстансів у понад 200 open-source проєктах. Команда подала 30+ відповідальних повідомлень про вразливості, що призвело до 10+ вразливостей високої критичності або критичних CVE, які охоплюють AI-фреймворки та IDE, зокрема LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero та DocsGPT; 9 із 11 протестованих репозиторіїв пакетів MCP можна було скомпрометувати із застосуванням цієї техніки.

Anthropic відповіла, що це “за задумом”, назвавши модель виконання STDIO “безпечним стандартним дизайном”, і переклала відповідальність за очищення введених даних на розробників, відмовившись змінювати протокол або офіційний SDK. Хоча DocsGPT і LettaAI випустили патчі, еталонна реалізація Anthropic лишається незмінною. Оскільки MCP стає де-факто стандартом для AI-агентів, які отримують доступ до зовнішніх інструментів — після чого йдуть OpenAI, Google та Microsoft — будь-який MCP-сервіс, що використовує стандартний підхід STDIO з офіційного SDK, може стати вектором атаки, навіть якщо розробники пишуть код без помилок.