Az Anthropic MCP protokollja 200 ezer szervert fenyeget, állítják kutatók
Egy tervezési hiba az Anthropic Model Context Protocoljában (MCP) akár 200 000 szerver teljes átvételét is lehetővé teheti. A probléma novemberben került azonosításra.
Akár 200 000 szerver teljes átvételét is lehetővé teheti az Anthropic hivatalos Model Context Protocoljába (MCP) beépített tervezési hiba – állítják biztonsági kutatók. Az Ox kutatócsoport többször is kérte az Anthropicot, hogy javítsa a problémát, de a cég szerint a protokoll rendben működik — írja a The Register.
A kutatás novemberben indult, és több mint 30 felelős közzétételi folyamatot foglalt magában. Az Anthropic „elutasította a protokoll architektúrájának módosítását, arra hivatkozva, hogy a viselkedés „elvárható”” – közölték az Ox kutatói, Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok és Roni Bar a kutatásukról szóló blogbejegyzésükben. A jelentésüket követő egy héten belül az AI-gyártó csendben frissítette biztonsági irányelveit, amelyben óvatosságra int a MCP adapterek, különösen a STDIO-alapúak használatával kapcsolatban.
A MCP egy nyílt forráskódú protokoll, amelyet eredetileg az Anthropic fejlesztett ki, és amelyet LLM-ek, AI-alkalmazások és ügynökök használnak külső adatokhoz, rendszerekhez és egymáshoz való csatlakozásra. A protokoll programozási nyelveken átívelően működik, ami azt jelenti, hogy bármely fejlesztő, aki az Anthropic hivatalos MCP szoftverfejlesztő készletét használja, örökli ezt a sebezhetőséget. Az Ox kutatói szerint a STDIO helyi szállítási mechanizmusként való használata lehetővé teszi tetszőleges operációs rendszer parancsok futtatását, ami négy különböző típusú sebezhetőséghez vezethet.
Az első típusú sebezhetőség, a hitelesítés nélküli és hitelesített parancsinjektálás, lehetővé teszi a támadók számára, hogy felhasználó által vezérelt parancsokat futtassanak közvetlenül a szerveren hitelesítés vagy tisztítás nélkül. Ez teljes rendszerkompromisszumhoz vezethet, és minden nyilvánosan elérhető felhasználói felülettel rendelkező AI-keretrendszer sebezhető. A LangFlow összes verziója, az IBM nyílt forráskódú, alacsony kódú keretrendszere, valamint a GPT Researcher nyílt forráskódú AI-ügynök is érintett, utóbbihoz már kiadtak egy CVE-azonosítót (CVE-2025-65720).
A harmadik típusú sebezhetőség zero-click prompt injektálást tesz lehetővé AI integrált fejlesztői környezetekben (IDE-k) és kódsegédekben, mint például a Windsurf, Claude Code, Cursor, Gemini-CLI és GitHub Copilot. Az egyetlen kiadott CVE, amely ezt a sebezhetőségi osztályt kezeli, a Windsurf (CVE-2026-30615) esetében történt. Az Ox szerint az Anthropic felelőssége lenne, hogy a MCP-t alapértelmezetten biztonságossá tegye, egyetlen protokollszintű változtatás védelmet nyújthatna minden érintett projektnek és felhasználónak.