Протокол MCP подвергся уязвимости RCE на уровне проекта; Anthropic отказывается менять архитектуру

Сообщение Gate News, 21 апреля — компания по кибербезопасности OX Security раскрыла уязвимость удаленного выполнения кода на уровне проекта (RCE) в MCP (Model Context Protocol), открытом стандарте для ИИ-агентов, чтобы вызывать внешние инструменты, который ведется компанией Anthropic. Злоумышленники могут выполнять произвольные команды на любой системе, на которой запущена уязвимая реализация MCP, получая доступ к данным пользователей, внутренним базам данных, ключам API и истории чатов.

Изъян связан не с ошибками реализации, а с поведением по умолчанию в официальном SDK Anthropic при обработке транспорта STDIO — это затрагивает версии для Python, TypeScript, Java и Rust. StdioServerParameters в официальном SDK напрямую запускает подсистемы на основе параметров команд конфигурации; без дополнительной санитизации входных данных разработчиками любой пользовательский ввод, который достигает этого этапа, превращается в системную команду. OX Security выделила четыре вектора атаки: прямое внедрение команд через интерфейсы конфигурации, обход санитизации с помощью разрешенных флагов команд (например, npx -c ), инъекция через подсказки в IDE для переписывания файлов конфигурации MCP для таких инструментов, как Windsurf, чтобы запускать вредоносные STDIO-службы без взаимодействия с пользователем, и внедрение конфигураций STDIO через HTTP-запросы в маркетплейсах MCP.

По данным OX Security, затронутые пакеты были скачаны более 150 миллионов раз, а 7,000+ публично доступных серверов MCP раскрывают до 200,000 экземпляров в рамках 200+ проектов с открытым исходным кодом. Команда направила 30+ ответственных уведомлений, что привело к 10+ уязвимостям высокой степени или критическим CVE, охватывающим ИИ-фреймворки и IDE, включая LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero и DocsGPT; 9 из 11 протестированных репозиториев пакетов MCP могли быть скомпрометированы с использованием этой техники.

Anthropic ответила, что это "по проекту", назвав модель исполнения STDIO "безопасным дизайном по умолчанию", и переложила ответственность за санитизацию входных данных на разработчиков, отказавшись модифицировать протокол или официальный SDK. Хотя DocsGPT и LettaAI выпустили исправления, эталонная реализация Anthropic остается неизменной. Поскольку MCP становится де-факто стандартом для ИИ-агентов, получающих доступ к внешним инструментам — вслед за OpenAI, Google и Microsoft — любой сервис MCP, использующий стандартный подход к STDIO из официального SDK, может стать вектором атаки, даже если разработчики пишут безошибочный код.