Giao thức MCP tiết lộ lỗ hổng RCE cấp thiết kế, Anthropic từ chối sửa đổi kiến trúc

Tin tức ME, ngày 21 tháng 4 (UTC+8), theo theo dõi của Động Chấn Beating, công ty an ninh OX Security gần đây tiết lộ rằng MCP (Model Context Protocol, tiêu chuẩn thực tế cho việc gọi công cụ bên ngoài của AI代理 do Anthropic dẫn đầu) có lỗ hổng thực thi mã từ xa trong thiết kế. Kẻ tấn công có thể thực thi lệnh tùy ý trên bất kỳ hệ thống nào chạy MCP có lỗ hổng, lấy dữ liệu người dùng, cơ sở dữ liệu nội bộ, khóa API và lịch sử trò chuyện. Lỗ hổng không xuất phát từ lỗi lập trình của nhà triển khai, mà từ hành vi mặc định của SDK chính thức của Anthropic khi xử lý truyền STDIO, cả bốn phiên bản ngôn ngữ Python, TypeScript, Java, Rust đều bị ảnh hưởng. STDIO là một phương thức truyền của MCP, cho phép tiến trình cục bộ giao tiếp qua đầu vào đầu ra tiêu chuẩn. Trong SDK chính thức, StdioServerParameters sẽ khởi động tiến trình con theo lệnh trong cấu hình, nếu nhà phát triển không thực hiện làm sạch đầu vào bổ sung, bất kỳ đầu vào người dùng nào đi đến bước này đều có thể trở thành lệnh hệ thống. OX Security phân loại các mặt tấn công thành bốn loại: chèn lệnh trực tiếp qua giao diện cấu hình; vượt qua làm sạch bằng cách thêm cờ dòng vào lệnh trong danh sách trắng (ví dụ \npx -c <lệnh>); dùng gợi ý trong IDE để chèn sửa đổi tệp cấu hình MCP, khiến các công cụ như Windsurf có thể chạy dịch vụ STDIO độc hại mà không cần tương tác người dùng; và lợi dụng các yêu cầu HTTP trong thị trường MCP để lén lút chèn vào cấu hình STDIO. Số liệu của OX Security: các gói phần mềm bị ảnh hưởng đã được tải hơn 150 triệu lần, hơn 7000 máy chủ MCP công khai có thể truy cập, tổng cộng có thể lộ tới 200.000 ví dụ, liên quan đến hơn 200 dự án mã nguồn mở. Nhóm đã gửi hơn 30 báo cáo trách nhiệm và nhận hơn 10 CVE mức cao hoặc nghiêm trọng, bao gồm các framework và IDE như LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero, DocsGPT; trong 11 kho chứa MCP đã thử nghiệm, có 9 kho có thể bị chèn cấu hình độc hại theo phương pháp này. Sau khi tiết lộ, Anthropic phản hồi rằng đây là “hành vi dự kiến” (by design), mô hình thực thi STDIO thuộc “thiết kế an toàn mặc định”, và trách nhiệm làm sạch đầu vào thuộc về nhà phát triển, từ chối thay đổi ở cấp độ giao thức hoặc SDK chính thức. Các nhà cung cấp như DocsGPT, LettaAI đã tự phát hành bản vá, trong khi hành vi mặc định của tham chiếu SDK của Anthropic vẫn không đổi. MCP đã trở thành tiêu chuẩn thực tế cho AI代理 gọi công cụ bên ngoài, OpenAI, Google, Microsoft đều đang theo dõi. Trong tình trạng chưa sửa lỗi gốc, bất kỳ dịch vụ MCP nào sử dụng cách mặc định của SDK chính thức để nhận STDIO, dù không viết sai một dòng mã nào, cũng có thể trở thành điểm tấn công. (Nguồn: BlockBeats)