Протокол MCP виявив вразливість RCE на рівні проектування, Anthropic відмовилася змінювати архітектуру

ME Новини повідомляють, 21 квітня (UTC+8), за даними моніторингу Датчі Beating, компанія з безпеки OX Security нещодавно повідомила, що відкритий протокол MCP (Model Context Protocol, стандарт фактичного виклику зовнішніх інструментів AI-агентами, керований Anthropic) має вразливість у дизайні, яка дозволяє віддалене виконання коду. Зловмисник може виконати будь-яку команду на будь-якій системі з уразливим реалізацією MCP, отримати дані користувачів, внутрішні бази даних, API-ключі та історії чатів. Вразливість не пов’язана з помилками у коді реалізаторів, а з поведінкою за замовчуванням у офіційному SDK Anthropic при обробці STDIO-передачі, причому у чотирьох мовних версіях — Python, TypeScript, Java, Rust. STDIO — це один із способів передачі даних у MCP, що дозволяє локальним процесам спілкуватися через стандартний ввід і вивід. У офіційному SDK параметри StdioServerParameters запускають дочірній процес безпосередньо з командних аргументів конфігурації; якщо розробник не додасть додаткову очистку вводу, будь-який користувацький ввід, що доходить до цього етапу, стає системною командою. OX Security класифікує цю уразливість у чотири категорії: пряме впровадження команд через інтерфейс конфігурації; обходи очищення за допомогою дозволених команд із додаванням маркерів (наприклад, \npx -c <команда>); інжекція змін у конфігураційний файл MCP через підказки у IDE, що дозволяє інструментам на кшталт Windsurf запускати зловмисний STDIO без участі користувача; а також приховане вставлення конфігурацій STDIO через HTTP-запити у ринку MCP. За даними OX Security, кількість завантажень усього пакету понад 150 мільйонів, понад 7000 відкритих серверів MCP у мережі, що разом відкривають до 200 тисяч інстанцій, охоплюючи понад 200 відкритих проектів. Команда опублікувала понад 30 відповідальних повідомлень і отримала понад 10 CVE високого або серйозного рівня, що стосуються таких фреймворків і IDE, як LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero, DocsGPT. У 11 перевірених репозиторіях MCP-пакетів 9 можна зловмисно налаштувати за допомогою цієї методики. Після розкриття Anthropic заявила, що це «запланована поведінка» (by design), модель виконання STDIO вважається «безпечною за замовчуванням», і відповідальність за очищення вводу перекладається на розробників, відмовляючись від змін у протоколі або офіційному SDK. Виробники, такі як DocsGPT і LettaAI, вже випустили власні патчі, але поведінка за замовчуванням у реальній реалізації Anthropic залишилася незмінною. MCP вже є фактичним стандартом для зовнішнього доступу до інструментів AI-агентів, і компанії OpenAI, Google, Microsoft активно слідкують за цим. Без виправлення цієї уразливості будь-який MCP-сервіс, що використовує стандартний спосіб обробки STDIO через офіційний SDK, навіть без власних помилок у коді, може стати мішенню для атаки. (Джерело: BlockBeats)