Содержание
В Model Context Protocol (MCP) от Anthropic нашли архитектурную уязвимость, которая открывает путь к удалённому выполнению кода (RCE) на системах с уязвимыми реализациями. По оценке исследователей, проблема затрагивает цепочку поставок с более чем 150 млн загрузок и до 200 000 серверных инстансов, где MCP уже используют в продакшене.
О находке рассказала команда OX Security. И ключевой момент тут не «одна ошибка в одном проекте», а дизайн-решение в эталонных SDK, из-за которого риск по умолчанию унаследуют почти все, кто строит интеграции на MCP.
Где именно сидит проблема: STDIO и запуск локальных процессов
MCP — открытый стандарт, который Anthropic запустила в конце 2024 года, чтобы ИИ-модели подключались к внешним инструментам, базам данных и API. В декабре протокол передали под управление Linux Foundation (Agentic AI Foundation), а сам MCP успели подхватить OpenAI, Google и большинство крупных AI-инструментов для разработки.
Уязвимость связана с тем, как MCP обрабатывает локальный запуск процессов через транспорт STDIO. По описанию OX Security, ввод, который контролирует пользователь, может напрямую дойти до исполнения команд без санитизации. Это поведение «вшито» в официальные SDK MCP для Python, TypeScript, Java и Rust.
Исследователи утверждают, что из-за такого подхода разработчики «наследуют» опасную модель исполнения команд по умолчанию. То есть риск размазывается по всей AI-саплай-цепочке: от фреймворков и IDE до маркетплейсов MCP-пакетов.
Четыре семейства атак и подтверждённые кейсы в продакшене
OX Security описывает четыре семейства эксплуатации, которые они проверили на практике. Речь не только про «вставили вредную строку и повезло», а про системные сценарии, которые бьют по разным слоям экосистемы MCP.
- Неаутентифицированная UI-инъекция: атаки через интерфейсы AI-фреймворков.
- Обход защитного hardening: в том числе в инструментах вроде Flowise, которые считались «закалёнными».
- Zero-click prompt injection: в AI-IDE для кодинга, включая Windsurf и Cursor, без дополнительных действий со стороны пользователя.
- Вредоносные пакеты через MCP-маркетплейсы: поставка «ядовитых» инструментов в реестрах.
В рамках проверки команда заявляет, что смогла «отравить» тестовой нагрузкой 9 из 11 MCP-реестров. Ещё один жёсткий факт: они подтвердили выполнение команд на шести живых продакшен-платформах с платящими клиентами.
10+ CVE и спорный ответ Anthropic
По итогам исследования появилось как минимум 10 CVE с оценками high или critical. Часть проектов уже закрыла дыры. Например, LiteLLM (CVE-2026-30623) и Bisheng (CVE-2026-33224) получили патчи.
При этом Windsurf (CVE-2026-30615), где речь шла о zero-click локальном выполнении кода, на момент описания оставался в статусе «reported». В списке также фигурируют уязвимости в GPT Researcher, Agent Zero, LangChain-Chatchat и DocsGPT.
Самый неприятный поворот — реакция Anthropic. По словам исследователей, компания отказалась править протокол на уровне дизайна и назвала поведение ожидаемым. OX Security предлагала протокольные меры, которые могли бы быстро защитить даунстрим: например, исполнение только по манифесту или allowlist команд на уровне SDK.
Пока MCP находится под управлением Linux Foundation, но эталонные SDK, где и заложена проблема, всё ещё поддерживает Anthropic. И до тех пор, пока обработку STDIO не поменяют «в источнике», мейнтейнерам проектов придётся самим добавлять санитизацию ввода.
Подробности исследования OX Security опубликовала в своём блоге: The mother of all AI supply chains: critical systemic vulnerability at the core of the MCP.
Ирония ситуации в том, что всё это всплыло меньше чем через неделю после запуска Anthropic модели Claude Mythos, которую компания продвигает как инструмент для поиска уязвимостей в чужом софте.
