У відомому протоколі штучного інтелекту виявлено критичну вразливість, і компанія Anthropic заявила, що не займатиметься її усуненням

Кібер‑загроза у протоколі MCP: як це виглядає і що потрібно робити

Чому це проявляєтьсяПроисхід вразливостіДослідники OX Security знайшли архітектурну помилку в Model Context Protocol (MCP).Підконтрольні SDKОфіційні бібліотеки для Python, TypeScript, Java та Rust.Обсяг ризикуБільше 150 млн завантажень і до 200 тисяч серверних екземплярів використовують ці SDK.Відповідь AnthropicКомпанія заявила, що протокол «поведінка очікувана» і змін не потрібно.

Що таке MCP?
- Відкритий стандарт, представлений Anthropic у 2024 різ.
- Дозволяє ІІ‑моделям підключатися до зовнішніх інструментів, баз даних та API.
- Минулого року протокол передано в Agentic AI Foundation при Linux Foundation; зараз його використовують OpenAI, Google і більшість ІІ‑інструментів.

Як працює вразливість
1. STDIO‑інтерфейс
- Запити надсилаються безпосередньо до точки виконання команд без додаткової перевірки.
2. Наслідування ризику
- Будь-хто, хто використовує MCP, автоматично отримує цю слабкість.

Можливі шляхи експлуатації (4 сімейства)
№Тип атакиЩо робить зловмисник
1Внедрення коду в UI без авторизаціїПише шкідливий код, який запускається автоматично.
2Обхід захисту на «захищених» платформах (Flowise)Використовує вразливість для обходу вбудованих механізмів безпеки.
3Шкідливі запити у IDE‑середовищах (Windsurf, Cursor)Запускає команди без участі користувача.
4Розповсюдження шкідливих пакетів через MCPПублікує зловмисний код, який автоматично завантажується іншими користувачами.

- Тестування: дослідники успішно впровадили payload у 9 із 11 реєстрів MCP і довели можливість виконання команд на шести комерційних платформах.

Додаткові знайдені вразливості
ПрограмаCVEСтатусLiteLLMCVE‑2026‑30623ЗакритаBishengCVE‑2026‑33224ЗакритаWindsurfCVE‑2026‑30615«Повідомлення отримано» (локальне виконання коду)GPT Researcher, Agent Zero, LangChain‑Chatchat, DocsGPT–Той самий статус

Як реагує Anthropic
- Рекомендації OX Security:
- Обмежити запити лише з манифесту.
- Ввести список дозволених команд у SDK.
- Відповідь компанії: відмова від змін і відсутність заперечень проти публікації вразливості.

Що зараз відбувається
ПодіяТекущее состояниеВитік моделі MythosAnthropic проводить внутрішнє розслідування.Вихід коду Claude CodeРаніше сталася витік вихідного коду сервісу.Управління MCPПерешло до Linux Foundation, але Anthropic все ще підтримує SDK з вразливістю.

Що потрібно робити розробникам
- Поки STDIO‑інтерфейс не буде змінений, необхідно самостійно реалізувати фільтрацію вхідних даних.
- Перевіряти версії SDK і оновлювати їх до останніх патчів, якщо вони доступні.
- Розглянути впровадження власних механізмів перевірки команд та обмежень на рівні застосунку.

Висновок:
Вразливість у MCP представляє серйозну загрозу для мільйонів користувачів. Незважаючи на відмову Anthropic від змін протоколу, розробники повинні вжити заходи щодо захисту своїх систем до тих пір, поки не будуть офіційно виправлені.