В Model Context Protocol от Anthropic обнаружена критическая уязвимость удалённого выполнения кода

Исследователи безопасности из OX Security обнаружили архитектурную уязвимость в Model Context Protocol (MCP) компании Anthropic, которая позволяет выполнять произвольный код удалённо на любой системе, использующей уязвимую реализацию. Уязвимость затрагивает официальные SDK MCP для Python, TypeScript, Java и Rust и распространяется по цепочке поставок, охватывающей более 150 миллионов загрузок и до 200 000 серверных экземпляров. Удивительно, но Anthropic отказалась исправлять протокол в ответ на обнаружение, заявив исследователям, что такое поведение является «ожидаемым».

MCP — это открытый стандарт, созданный Anthropic в конце 2024 года, чтобы позволить ИИ-моделям подключаться к внешним инструментам, базам данных и API. В декабре прошлого года он был передан под управление Agentic AI Foundation Linux Foundation и с тех пор был принят OpenAI, Google и большинством крупных ИИ-инструментов для программирования.

Уязвимость заключается в том, как MCP обрабатывает выполнение локальных процессов через свой интерфейс транспорта STDIO. Пользовательский ввод может напрямую поступать в команды выполнения без какой-либо санации — это дизайнерское решение, заложенное в эталонные SDK, — что означает, что каждый разработчик, создающий приложения на основе MCP, по умолчанию наследует эту уязвимость.

Исследовательская группа OX Security выявила четыре семейства векторов атаки: внедрение кода через пользовательский интерфейс в ИИ-фреймворках без аутентификации, обход средств защиты в инструментах вроде Flowise, которые должны были быть защищены, внедрение вредоносных промптов без необходимости взаимодействия пользователя в ИИ-средах разработки, включая Windsurf и Cursor, а также распространение вредоносных пакетов через маркетплейсы MCP. Исследователям удалось «отравить» девять из 11 реестров MCP тестовым вредоносным кодом и подтвердить выполнение команд на шести работающих в продакшене платформах с платными клиентами.

Исследование привело к присвоению как минимум 10 идентификаторов уязвимостей (CVE) с высоким или критическим уровнем опасности. Уязвимости в LiteLLM (CVE-2026-30623) и Bisheng (CVE-2026-33224) уже исправлены, в то время как уязвимость в Windsurf (CVE-2026-30615), позволявшая выполнять локальный код без клика, остаётся в статусе «сообщено», как и уязвимости в GPT Researcher, Agent Zero, LangChain-Chatchat и DocsGPT.

OX Security сообщила, что неоднократно рекомендовала Anthropic исправление на уровне протокола, например, выполнение только по манифесту или список разрешённых команд в SDK, что немедленно защитило бы конечных пользователей. Однако, по имеющимся данным, Anthropic отказалась и не возражала, когда исследователи заявили о намерении опубликовать свой отчёт.

Ирония ситуации в том, что уязвимость была раскрыта менее чем через неделю после запуска Anthropic своей новой фронтир-модели Claude Mythos, которую компания рекламирует как инструмент для поиска уязвимостей в программном обеспечении других организаций. Эта ирония не ускользнула от внимания исследователей OX, которые отметили, что их находка — это «призыв к действию» для Anthropic, чтобы применить тот же подход к безопасности в собственной инфраструктуре.

Это также следует за случайной утечкой полного исходного кода Claude Code через публичный npm-пакет в конце марта, которая обнажила примерно 500 000 строк необфусцированного TypeScript-кода до того, как Anthropic удалила файл.

MCP теперь находится под управлением Linux Foundation, но именно Anthropic по-прежнему отвечает за поддержку эталонных SDK, в которых и кроется уязвимость. Пока обработка STDIO не будет изменена в исходном коде, сопровождающим проектов придётся реализовывать собственную санацию ввода.

Источник: Tomshardware.com