Протокол MCP обнаружена уязвимость RCE на уровне проектирования, Anthropic отказалась менять архитектуру

МЕ Новости, 21 апреля (UTC+8), по данным мониторинга 动察 Beating, недавно компания по безопасности OX Security раскрыла, что открытый протокол MCP (Model Context Protocol, стандарт фактического вызова внешних инструментов AI-агентами, руководимый Anthropic) имеет уязвимость удаленного выполнения кода на уровне дизайна. Атакующий может выполнять произвольные команды на любой системе с реализованным уязвимым MCP, получая доступ к пользовательским данным, внутренним базам данных, API-ключам и чат-историям. Уязвимость не связана с ошибками кодирования разработчиков, а обусловлена поведением по умолчанию при обработке STDIO в официальном SDK Anthropic, затронуты версии на Python, TypeScript, Java и Rust. STDIO — это способ передачи данных в MCP, при котором локальный процесс взаимодействует через стандартный ввод-вывод. В официальном SDK параметры StdioServerParameters запускают дочерний процесс с командой, указанной в конфигурации; если разработчик не реализует дополнительную очистку входных данных, любой пользовательский ввод, попавший сюда, превращается в системную команду. OX Security выделяет четыре типа атак: прямое внедрение команд через интерфейс конфигурации; обход очистки путём добавления флагов к разрешённым в белом списке командам (например, \npx -c <команда>); внедрение через подсказки в IDE для изменения конфигурационных файлов MCP, что позволяет инструментам вроде Windsurf запускать вредоносные STDIO-сервисы без взаимодействия с пользователем; а также тайное внедрение конфигурации STDIO через HTTP-запросы в рынке MCP. По данным OX Security, общее число скачиваний уязвимых пакетов превысило 150 миллионов, более 7000 публичных серверов MCP доступны, что в совокупности раскрывает до 200 тысяч экземпляров и затрагивает более 200 проектов с открытым исходным кодом. Команда предоставила более 30 сообщений о раскрытии уязвимостей, получила более 10 CVE высокого или критического уровня, охватывающих такие AI-фреймворки и IDE, как LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero, DocsGPT. В 11 проверенных репозиториях MCP-пакетов 9 могут быть уязвимы к такому методу внедрения вредоносных конфигураций. После раскрытия Anthropic заявил, что это «запланированное поведение» (by design), модель выполнения STDIO считается «безопасным по умолчанию», и ответственность за очистку входных данных возложена на разработчиков, отказавшись вносить изменения на уровне протокола или официального SDK. Производители, такие как DocsGPT и LettaAI, уже выпустили собственные патчи, а поведение по умолчанию в реальной реализации Anthropic осталось без изменений. MCP уже является фактическим стандартом для AI-агентов, взаимодействующих с внешними инструментами, и компании как OpenAI, Google и Microsoft следят за развитием ситуации. Пока уязвимость не устранена, любой MCP-сервис, использующий стандартный способ взаимодействия через официальный SDK, даже без ошибок в коде, может стать точкой входа для атаки. (Источник: BlockBeats)