В известном протоколе искусственного интеллекта обнаружена критическая уязвимость, а компания Anthropic заявила, что не займётся её устранением
Кибер‑угроза в протоколе MCP: как это выглядит и что нужно делать
| Что | Как это проявляется |
|---|---|
| Происхождение уязвимости | Исследователи OX Security нашли архитектурный дефект в Model Context Protocol (MCP). |
| Подверженные SDK | Официальные библиотеки для Python, TypeScript, Java и Rust. |
| Объём риска | Более 150 млн загрузок и до 200 тысяч серверных экземпляров используют эти SDK. |
| Ответ Anthropic | Компания заявила, что протокол «поведение ожидаемо» и изменений не требуется. |
Что такое MCP?
- Открытый стандарт, представленный Anthropic в 2024 году.
- Позволяет ИИ‑моделям подключаться к внешним инструментам, базам данных и API.
- В прошлом году протокол передан в Agentic AI Foundation при Linux Foundation; сейчас его используют OpenAI, Google и большинство ИИ‑инструментов.
Как работает уязвимость
1. STDIO‑интерфейс
- Запросы отправляются напрямую в точку выполнения команд без дополнительной проверки.
2. Наследование риска
- Любой разработчик, использующий MCP, автоматически получает эту слабость.
Возможные пути эксплуатации (4 семейства)
| № | Тип атаки | Что делает злоумышленник |
|---|---|---|
| 1 | Внедрение кода в UI без авторизации | Пишет вредоносный код, который запускается автоматически. |
| 2 | Обход защиты на «защищённых» платформах (Flowise) | Использует уязвимость для обхода встроенных механизмов безопасности. |
| 3 | Вредоносные запросы в IDE‑средах (Windsurf, Cursor) | Запускает команды без участия пользователя. |
| 4 | Распространение вредоносных пакетов через MCP | Публикует зловредный код, который автоматически загружается другими пользователями. |
- Тестирование: исследователи успешно внедрили payload в 9 из 11 реестров MCP и доказали возможность выполнения команд на шести коммерческих платформах.
Дополнительные найденные уязвимости
| Приложение | CVE | Статус |
|---|---|---|
| LiteLLM | CVE‑2026‑30623 | Закрыта |
| Bisheng | CVE‑2026‑33224 | Закрыта |
| Windsurf | CVE‑2026‑30615 | «Сообщение получено» (локальное выполнение кода) |
| GPT Researcher, Agent Zero, LangChain‑Chatchat, DocsGPT | – | Тот же статус |
Как реагирует Anthropic
- Рекомендации OX Security:
- Ограничить запросы только из манифеста.
- Ввести список разрешённых команд в SDK.
- Ответ компании: отказ от изменений и отсутствие возражений против публикации уязвимости.
Что сейчас происходит
| Событие | Текущее состояние |
|---|---|
| Утечка модели Mythos | Anthropic проводит внутреннее расследование. |
| Выход кода Claude Code | Ранее произошла утечка исходного кода сервиса. |
| Управление MCP | Перешло в Linux Foundation, но Anthropic всё ещё поддерживает SDK с уязвимостью. |
Что нужно делать разработчикам
- Пока STDIO‑интерфейс не будет изменён, необходимо самостоятельно реализовать фильтрацию входных данных.
- Проверять версии SDK и обновлять их до последних патчей, если они доступны.
- Рассмотреть внедрение собственных механизмов проверки команд и ограничений на уровне приложения.
Итого:
Уязвимость в MCP представляет серьёзную угрозу для миллионов пользователей. Несмотря на отказ Anthropic от изменений протокола, разработчики должны принять меры по защите своих систем до тех пор, пока не произойдут официальные исправления.
Asted Cloud
Комментарии (0)
Оставьте отзыв — пожалуйста, будьте вежливы и по теме.
Войти, чтобы комментировать