O protocolo MCP expõe uma vulnerabilidade de RCE a nível de design, a Anthropic recusa alterar a arquitetura

Notícias ME, 21 de abril (UTC+8), de acordo com o monitoramento do Beating, a empresa de segurança OX Security divulgou recentemente que a protocolo aberto MCP liderada pela Anthropic (Protocolo de Contexto de Modelo, padrão de fato para chamadas de agentes de IA a ferramentas externas) apresenta uma vulnerabilidade de execução remota de código na camada de design. Os atacantes podem executar comandos arbitrários em qualquer sistema que execute uma implementação vulnerável do MCP, obtendo dados de usuários, bancos de dados internos, chaves de API e registros de chat. A vulnerabilidade não decorre de erro de codificação do implementador, mas do comportamento padrão do SDK oficial da Anthropic ao lidar com transmissão STDIO, afetando versões em Python, TypeScript, Java e Rust. STDIO é uma forma de transmissão do MCP que permite que processos locais comuniquem-se por entrada e saída padrão. Os parâmetros do StdioServer do SDK oficial iniciam diretamente um subprocesso com base nos comandos configurados; se o desenvolvedor não fizer uma limpeza adicional na entrada, qualquer entrada do usuário que chegue até esse ponto pode se transformar em comando do sistema. A OX Security categoriza a superfície de ataque em quatro tipos: injeção de comandos diretamente na interface de configuração; uso de comandos permitidos na lista de permissões com marcas de linha para contornar a limpeza (por exemplo, \npx -c <comando>); injeção de prompts no IDE para reescrever arquivos de configuração do MCP, permitindo que ferramentas como Windsurf iniciem serviços STDIO maliciosos sem interação do usuário; e inserção furtiva de configurações STDIO através de requisições HTTP no mercado MCP. Segundo a OX Security, o número de pacotes afetados ultrapassa 150 milhões de downloads, mais de 7.000 servidores MCP acessíveis publicamente, expondo até 200 mil instâncias e envolvendo mais de 200 projetos de código aberto. A equipe já submeteu mais de 30 relatórios de responsabilidade e obteve mais de 10 CVEs de alta ou grave severidade, abrangendo frameworks e IDEs de IA como LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero, DocsGPT, entre outros; em 11 repositórios de pacotes MCP testados, 9 podem ser explorados por esse método para inserir configurações maliciosas. Após a divulgação, a Anthropic respondeu que isso é uma “comportamento esperado” (by design), afirmando que o modelo de execução STDIO é uma “configuração padrão segura” e atribuindo a responsabilidade pela limpeza de entrada aos desenvolvedores, recusando-se a alterar o protocolo ou o SDK oficial. Fabricantes como DocsGPT e LettaAI já lançaram patches próprios, enquanto a implementação padrão da Anthropic permanece inalterada. O MCP já é o padrão de fato para agentes de IA acessando ferramentas externas, com OpenAI, Google e Microsoft acompanhando. Sem uma correção definitiva, qualquer serviço MCP que utilize a configuração padrão do SDK oficial ao lidar com STDIO pode se tornar uma porta de entrada para ataques, mesmo que o desenvolvedor não tenha cometido erro algum. (Fonte: BlockBeats)