Исследователи в области безопасности из OX Security обнаружили архитектурную уязвимость в Протоколе контекста модели (MCP) от Anthropic, которая позволяет выполнять произвольный удаленный код на любой системе с уязвимой реализацией. Эта ошибка затрагивает официальные SDK MCP для Python, TypeScript, Java и Rust и распространяется по цепочке поставок, охватывающей более 150 миллионов загрузок и до 200 000 серверных инстансов. Удивительно, но Anthropic отказалась исправлять протокол в ответ, заявив исследователям, что такое поведение является «ожидаемым».
MCP — это открытый стандарт, созданный Anthropic в конце 2024 года для подключения моделей ИИ к внешним инструментам, базам данных и API. В декабре прошлого года он был передан в дар Agentic AI Foundation при Linux Foundation и с тех пор принят OpenAI, Google и большинством основных инструментов для кодирования ИИ.
Уязвимость кроется в том, как MCP обрабатывает выполнение локальных процессов через свой интерфейс транспорта STDIO. Вводимые пользователем данные могут напрямую поступать в выполнение команд без какой-либо очистки — это конструктивное решение, заложенное в эталонных SDK, — что означает, что каждый разработчик, использующий MCP, по умолчанию наследует эту подверженность риску.
Команда исследователей OX Security выявила четыре типа эксплуатации: неаутентифицированный инъекционный ввод в пользовательский интерфейс в фреймворках ИИ, обход мер защиты в таких инструментах, как Flowise, которые должны были быть защищены, инъекция промптов с нулевым кликом в IDE для кодирования ИИ, включая Windsurf и Cursor, а также вредоносное распространение пакетов через маркетплейсы MCP. Исследователям удалось заразить девять из 11 реестров MCP тестовой полезной нагрузкой и подтвердить выполнение команд на шести работающих производственных платформах с платящими клиентами.
В результате исследования было получено не менее 10 CVE с высоким или критическим рейтингом. LiteLLM (CVE-2026-30623) и Bisheng (CVE-2026-33224) уже исправлены, в то время как Windsurf (CVE-2026-30615), который позволял выполнять локальный код без взаимодействия с пользователем, остается в состоянии «сообщено» наряду с ошибками в GPT Researcher, Agent Zero, LangChain-Chatchat и DocsGPT.
OX Security сообщила, что неоднократно рекомендовала Anthropic исправление на уровне протокола, например, выполнение только по манифесту или «белый список» команд в SDK, что немедленно защитило бы нижестоящих пользователей, но Anthropic, по сообщениям, отказалась и не возражала, когда исследователи заявили о намерении опубликовать свой отчет.
Ирония в том, что эта уязвимость обнаружилась менее чем через неделю после того, как Anthropic запустила Claude Mythos — передовую модель, которую компания активно продвигает как инструмент для поиска уязвимостей в программном обеспечении других организаций. Эта ирония не ускользнула от исследователей OX, которые отметили, что эти выводы стали «призывом к действию» для Anthropic применить ту же приверженность к собственной инфраструктуре.
Это также последовало за случайной утечкой полного исходного кода Claude Code через общедоступный npm-пакет в конце марта, которая обнажила около 500 000 строк неопускуренного TypeScript, прежде чем Anthropic удалила файл.
MCP теперь находится под управлением Linux Foundation, но Anthropic по-прежнему несет ответственность за поддержку эталонных SDK, где и возникла уязвимость. Пока не будет изменена обработка STDIO в источнике, сопровождающим проектов придется реализовывать собственную очистку входных данных.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Luke James
