MCP प्रोटोकॉल डिज़ाइन-स्तरीय RCE दुर्बलता को उजागर करता है, एंथ्रोपिक आर्किटेक्चर बदलावों से इंकार करता है

ME न्यूज के अनुसार, 21 अप्रैल (UTC+8) को, सुरक्षा कंपनी OX Security द्वारा उजागर किए गए अनुसंधान के अनुसार, Anthropic द्वारा नियंत्रित ओपन प्रोटोकॉल MCP (Model Context Protocol, AI एजेंट द्वारा बाहरी उपकरणों के उपयोग का मानक) में डिज़ाइन-स्तरीय रिमोट कोड निष्पादन दुर्बलता है। हमलावर किसी भी दुर्बल MCP लागूकरण वाले सिस्टम पर कोई भी कमांड निष्पादित कर सकते हैं, जिससे उपयोगकर्ता डेटा, आंतरिक डेटाबेस, API कुंजियाँ और चैट रिकॉर्ड प्राप्त हो सकते हैं। यह दुर्बलता लागूकरण में कोडिंग की गलती में नहीं, बल्कि Anthropic के आधिकारिक SDK में STDIO प्रसारण के समय होने वाले डिफ़ॉल्ट व्यवहार में है, जिसमें Python, TypeScript, Java, Rust के चार संस्करण प्रभावित हैं। STDIO MCP का एक प्रसारण तरीका है, जो स्थानीय प्रक्रियाओं को मानक इनपुट/आउटपुट के माध्यम से संचार करने की अनुमति देता है। आधिकारिक SDK में StdioServerParameters, कॉन्फ़िगरेशन में स्पष्ट रूप से प्रदान किए गए कमांड पैरामीटर्स के साथ सबप्रोसेस को सीधे स्टार्ट करता है; यदि डेवलपर्स ने अतिरिक्त इनपुट क्लीनिंग नहीं की, तो कोई भी इस स्तर तक पहुँचने वाला उपयोगकर्ता इनपुट सिस्टम कमांड में परिवर्तित हो जाएगा। OX Security ने हमले के क्षेत्र को चार श्रेणियों में वर्गीकृत किया है: कॉन्फ़िगरेशन इंटरफ़ेस में सीधे कमांड इंजेक्शन; सफेद सूची में अनुमति प्राप्त कमांड का प्रयोग करके क्लीनिंग को पार करना (उदाहरण: `npx -c `); IDE में प्रेरणा-आधारित हमले से MCP कॉन्फ़िगरेशन फ़ाइल को संशोधित करके Windsurf जैसे उपकरणों को बिना किसी उपयोगकर्ता हस्तक्षेप के हानिकारक STDIO सेवा स्टार्ट करना; और MCP मार्केट पर HTTP अनुरोध के माध्यम से STDIO कॉन्फ़िगरेशन में छिपा हुआ प्रवेश। OX Security के अनुसार: प्रभावित सॉफ़्टवेयर पैकेजों की कुल डाउनलोड 1.5 अरब से अधिक हैं, 7000 से अधिक सार्वजनिक रूप से पहुँचने योग्य MCP सर्वर हैं, जिनमें 200,000 से अधिक प्रतियाँ, 200 से अधिक ओपन-सोर्स प्रोजेक्ट्स सम्मिलित हैं। टीम ने 30 से अधिक ज़िम्मेदारी-आधारित प्रकटीकरण प्रस्तुत किए हैं, 10 से अधिक हाई-या-सीवीएस (CVE) प्राप्त किए हैं, LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero, DocsGPT जैसे AI-फ्रेमवर्क्स और IDEs सहित; 11 MCP पैकेज रिपॉज़िटरीज़ में से 9 में हमलावरों को हानिकारक कॉन्फ़िगरेशन प्रवेश करने में सफलता मिली। प्रकटीकरण के बाद, Anthropic ने प्रतिक्रिया में कहा कि "यह 'अपेक्षित' (by design) व्यवहार" है, STDIO का 'सुरक्षित' (safe) 'डिफ़ॉल्ट' (default) मॉडल है, और प्रवेश-शुद्धि (input sanitization) की ज़िम्मेदारी सभी डेवलपर्स पर है; प्रोटोकॉल ya SDK-स्तर पर कोई परिवर्तन मना है। DocsGPT, LettaAI, etc. पहले से ही पैच प्रकट करचुके हैं, पर Anthropic के संदर्भ-लागूकरण (reference implementation) में 'डिफ़ॉल्ट' (default) behaviour में कोई परिवर्तन हुआ है। MCP AI-एजेंट्स के प्रति-उपकरण (external tools) संयोजन का मानक होचुका है; OpenAI, Google, Microsoft सभी पीछे हैं। मूल मुद्दे (root cause) को सुधारे बिना, कोई bhi Anthropic SDK-डिफ़ॉल्ट STDIO-जुड़ाव (STDIO integration) प्रयोग करने wala MCP सेवा—चाहे 'अपना' code 'एक' line bhi galat na ho—एक हमले-बिंदु (attack vector) ban sakta hai। (स्रोत: BlockBeats)