Le protocole MCP expose une vulnérabilité RCE au niveau de la conception, Anthropic refuse de modifier l'architecture

ME News Actualités, le 21 avril (UTC+8), selon la surveillance de Dongcha Beating, la société de sécurité OX Security a récemment révélé qu’une vulnérabilité d’exécution de code à distance au niveau de la conception existait dans le protocole MCP (Model Context Protocol, norme de fait pour l’appel d’outils externes par des agents IA) dirigé par Anthropic. Les attaquants peuvent exécuter des commandes arbitraires sur tout système utilisant une implémentation MCP vulnérable, compromettant ainsi les données utilisateur, la base de données interne, les clés API et les conversations. La vulnérabilité ne réside pas dans une erreur de codage de l’implémentateur, mais dans le comportement par défaut du SDK officiel d’Anthropic lors du traitement du transfert STDIO, affectant les versions en Python, TypeScript, Java et Rust. STDIO est une méthode de transmission du MCP permettant à un processus local de communiquer via l’entrée et la sortie standard. La classe StdioServerParameters du SDK officiel lance directement un sous-processus avec les paramètres de commande configurés ; si le développeur ne filtre pas les entrées supplémentaires, toute entrée utilisateur pouvant atteindre cette étape devient une commande système. OX Security divise la surface d’attaque en quatre catégories : injection directe de commandes via l’interface de configuration ; contournement du filtrage en utilisant des drapeaux dans des commandes autorisées par la liste blanche (par exemple \npx -c <commande>) ; injection dans le fichier de configuration MCP via des suggestions dans l’IDE pour faire fonctionner des outils comme Windsurf sans interaction utilisateur ; ainsi que l’insertion clandestine de configurations STDIO via des requêtes HTTP dans le marché MCP. Selon OX Security, le nombre de packages affectés dépasse 150 millions de téléchargements, plus de 7000 serveurs MCP accessibles publiquement, exposant jusqu’à 200 000 instances impliquant plus de 200 projets open source. L’équipe a soumis plus de 30 divulgations responsables et obtenu plus de 10 CVE de gravité élevée ou critique, couvrant des frameworks et IDEs tels que LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero, DocsGPT. Sur 11 dépôts MCP testés, 9 peuvent être exploités pour insérer des configurations malveillantes via cette méthode. Après la divulgation, Anthropic a répondu que c’était un « comportement prévu » (by design), que le modèle d’exécution STDIO était une « conception sécuritaire par défaut », et a rejeté toute modification au niveau du protocole ou du SDK officiel, déléguant la responsabilité du filtrage des entrées aux développeurs. Des éditeurs comme DocsGPT et LettaAI ont déjà publié des correctifs, mais le comportement par défaut de l’implémentation de référence d’Anthropic reste inchangé. MCP est désormais la norme de fait pour l’intégration d’agents IA avec des outils externes, avec OpenAI, Google et Microsoft en train de suivre. En l’absence de correctif, tout service MCP utilisant la méthode par défaut du SDK officiel pour STDIO, même sans erreur de code de la part du développeur, pourrait devenir une porte d’entrée pour des attaques. (Source : BlockBeats)