Protokol MCP mengungkapkan kerentanan RCE tingkat desain, Anthropic menolak mengubah arsitektur

Berita ME News, 21 April (UTC+8), menurut pemantauan Beating dari Dongcha, perusahaan keamanan OX Security baru-baru ini mengungkapkan bahwa protokol terbuka MCP yang dipimpin oleh Anthropic (Model Context Protocol, standar faktual untuk panggilan alat eksternal oleh agen AI) memiliki celah eksekusi kode jarak jauh pada tingkat desain. Penyerang dapat menjalankan perintah sembarang pada sistem mana pun yang menjalankan implementasi MCP yang rentan, mendapatkan data pengguna, basis data internal, kunci API, dan riwayat obrolan. Celah ini bukan disebabkan oleh kesalahan pengkodean dari pengembang, melainkan oleh perilaku default SDK resmi Anthropic saat menangani transmisi STDIO, yang memengaruhi versi bahasa Python, TypeScript, Java, dan Rust. STDIO adalah salah satu metode transmisi MCP, yang memungkinkan proses lokal berkomunikasi melalui input dan output standar. Parameter StdioServer dalam SDK resmi akan langsung memulai proses anak sesuai dengan parameter perintah dalam konfigurasi, dan jika pengembang tidak melakukan pembersihan input tambahan, setiap input pengguna yang sampai ke tahap ini bisa menjadi perintah sistem. OX Security mengelompokkan permukaan serangan menjadi empat kategori: injeksi perintah langsung melalui antarmuka konfigurasi; melewati pembersihan dengan menambahkan flag pada perintah yang diizinkan dalam whitelist (misalnya \npx -c <perintah>); menyuntikkan konfigurasi MCP melalui peringatan di IDE untuk menjalankan layanan STDIO berbahaya tanpa interaksi pengguna seperti dengan Windsurf; serta menyisipkan konfigurasi STDIO secara diam-diam melalui permintaan HTTP di pasar MCP. Angka yang diberikan oleh OX Security: paket perangkat lunak yang terpengaruh telah diunduh lebih dari 150 juta kali, lebih dari 7000 server MCP yang dapat diakses secara publik, dengan total hingga 200.000 instance yang terpapar dan melibatkan lebih dari 200 proyek open source. Tim mereka telah mengajukan lebih dari 30 laporan kerentanan dan mendapatkan lebih dari 10 CVE tingkat tinggi atau serius, mencakup kerangka kerja dan IDE AI seperti LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero, DocsGPT, dan lainnya; dari 11 repositori paket MCP yang diuji, 9 di antaranya rentan terhadap metode penyisipan konfigurasi berbahaya ini. Setelah pengungkapan, Anthropic merespons bahwa ini adalah “perilaku yang diharapkan” (by design), model eksekusi STDIO dianggap sebagai “desain default yang aman”, dan tanggung jawab pembersihan input diserahkan kepada pengembang, serta menolak melakukan perubahan pada tingkat protokol atau SDK resmi. Vendor seperti DocsGPT dan LettaAI telah merilis patch sendiri, sementara perilaku default implementasi referensi Anthropic tetap tidak berubah. MCP kini menjadi standar faktual untuk agen AI yang mengakses alat eksternal, dan OpenAI, Google, serta Microsoft sedang mengikuti perkembangan ini. Tanpa perbaikan, layanan MCP yang menggunakan metode default SDK resmi untuk mengakses STDIO, meskipun tidak melakukan kesalahan kode, tetap berpotensi menjadi pintu masuk serangan. (Sumber: BlockBeats)