تم الكشف عن ثغرة تنفيذ التعليمات عن بُعد على مستوى التصميم في بروتوكول MCP، ورفضت شركة Anthropic تعديل الهيكلية

أخبار ME، في 21 أبريل (بتوقيت UTC+8)، وفقًا لمراقبة Beating، كشفت شركة الأمان OX Security مؤخرًا أن بروتوكول MCP (Model Context Protocol، المعيار الحقيقي لاستدعاء الوكيل الذكي للأدوات الخارجية) الذي تقوده شركة Anthropic يعاني من ثغرة تنفيذ تعليمات برمجية عن بُعد في مستوى التصميم. يمكن للمهاجم تنفيذ أوامر عشوائية على أي نظام يعمل بتنفيذ MCP به ثغرة، والوصول إلى بيانات المستخدم، وقواعد البيانات الداخلية، ومفاتيح API، وسجلات الدردشة. لا تكمن الثغرة في خطأ برمجي من قبل المطورين، بل في السلوك الافتراضي لمكتبة SDK الرسمية عند معالجة نقل STDIO، حيث تتأثر إصدارات Python وTypeScript وJava وRust جميعها. STDIO هو أحد طرق النقل في MCP، حيث يتواصل العملية المحلية عبر الإدخال والإخراج القياسي. في SDK الرسمي، تقوم معلمات StdioServerParameters بتشغيل العملية الفرعية مباشرة بناءً على أوامر المعلمات في التكوين، وإذا لم يقم المطور بتنظيف المدخلات بشكل إضافي، فإن أي إدخال للمستخدم يمكن أن يتحول إلى أمر نظام. قسمت OX Security سطح الهجوم إلى أربع فئات: حقن الأوامر مباشرة عبر واجهة التكوين؛ تجاوز التنظيف باستخدام أوامر مسموح بها في القائمة البيضاء مع علامات سطر (مثل \npx -c <الأمر>)؛ استخدام التلميحات في بيئة IDE لإعادة كتابة ملفات تكوين MCP، مما يسمح لأدوات مثل Windsurf بتشغيل خدمات STDIO خبيثة دون تفاعل المستخدم؛ بالإضافة إلى إدخال تكوين STDIO بشكل مخفي عبر طلبات HTTP في سوق MCP. أرقام OX Security تشير إلى أن عدد الحزم البرمجية المتأثرة التي تم تنزيلها أكثر من 150 مليون مرة، وأن أكثر من 7000 خادم MCP متاح علنًا، مع كشف ما يصل إلى 200 ألف مثال، ويشمل ذلك أكثر من 200 مشروع مفتوح المصدر. قدم الفريق أكثر من 30 تقرير مسؤولية، وحصل على أكثر من 10 CVEs عالية أو خطيرة، تغطي أطر عمل وبيئات تطوير مثل LiteLLM وLangFlow وFlowise وWindsurf وGPT Researcher وAgent Zero وDocsGPT. من بين 11 مستودع حزم MCP تم اختبارها، يمكن لـ 9 منها أن تتعرض لهذا الأسلوب في إدخال تكوينات خبيثة. بعد الكشف، ردت شركة Anthropic بأن هذا “سلوك متوقع” (by design)، وأن نموذج تنفيذ STDIO يُعتبر “تصميمًا آمنًا بشكل افتراضي”، وأن مسؤولية تنظيف المدخلات تقع على عاتق المطورين، ورفضت إجراء تغييرات على البروتوكول أو SDK الرسمية. قامت شركات مثل DocsGPT وLettaAI بإصدار تصحيحات خاصة بها، ولم تتغير السلوكيات الافتراضية التي تعتمدها Anthropic. أصبح MCP المعيار الحقيقي لاستدعاء الوكيل الخارجي للأدوات في الذكاء الاصطناعي، وتتبع كل من OpenAI وGoogle وMicrosoft هذا الاتجاه. في ظل عدم إصلاح المشكلة، فإن أي خدمة MCP تعتمد على الطريقة الافتراضية لمكتبة SDK الرسمية في التعامل مع STDIO، حتى لو لم يكتب المستخدم سطرًا واحدًا من الكود بشكل خاطئ، قد تصبح نقطة هجوم. (المصدر: BlockBeats)