Согласно новости ME, 21 апреля (UTC+8), по данным мониторинга Beating, компания по кибербезопасности OX Security недавно раскрыла уязвимость удаленного выполнения кода на уровне проектирования в открытом протоколе MCP (Model Context Protocol), возглавляемом Anthropic — стандартном протоколе для вызова AI-агентами внешних инструментов. Злоумышленники могут выполнять произвольные команды на любой системе, использующей уязвимую реализацию MCP, получая доступ к пользовательским данным, внутренним базам данных, API-ключам и журналам чатов. Уязвимость не связана с ошибками в коде разработчиков, а обусловлена поведением по умолчанию в официальном SDK Anthropic при обработке передачи через STDIO — уязвимы все четыре версии на языках Python, TypeScript, Java и Rust. STDIO — один из способов передачи данных в MCP, позволяющий локальным процессам обмениваться информацией через стандартные потоки ввода-вывода. В официальном SDK параметр StdioServerParameters напрямую запускает дочерний процесс на основе аргументов команды из конфигурации; если разработчик не выполняет дополнительную очистку входных данных, любой пользовательский ввод, достигающий этого этапа, превращается в системную команду. OX Security классифицировала векторы атаки на четыре категории: прямая инъекция команд через интерфейс конфигурации; обход очистки с помощью разрешенных команд из белого списка с добавлением маркеров (например, `npx -c `); внедрение вредоносных изменений в файлы конфигурации MCP через подсказки в IDE, позволяющие таким инструментам, как Windsurf, запускать вредоносные STDIO-сервисы без взаимодействия с пользователем; и скрытая вставка STDIO-конфигурации через HTTP-запросы на рынке MCP. По данным OX Security: совокупное количество скачиваний затронутых пакетов превышает 150 миллионов, более 7000 публично доступных серверов MCP, что в совокупности раскрывает до 200 000 экземпляров и затрагивает более 200 открытых проектов. Команда подала более 30 отчетов о ответственном раскрытии и получила более 10 критических или серьезных CVE, охватывающих такие AI-фреймворки и IDE, как LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero и DocsGPT; в 9 из 11 протестированных репозиториев пакетов MCP удалось внедрить вредоносную конфигурацию с помощью этого метода. После раскрытия Anthropic ответила, что это «ожидаемое поведение» (by design), а модель выполнения STDIO является «безопасным поведением по умолчанию», возлагая ответственность за очистку входных данных на разработчиков и отказываясь вносить изменения на уровне протокола или официального SDK. Такие компании, как DocsGPT и LettaAI, уже выпустили собственные патчи, но поведение по умолчанию в эталонной реализации Anthropic осталось неизменным. MCP уже стал фактическим стандартом для подключения AI-агентов к внешним инструментам, и OpenAI, Google и Microsoft активно следуют за ним. Пока корневая проблема не устранена, любой сервис MCP, использующий стандартный способ подключения STDIO через официальный SDK — даже если сам разработчик не написал ни одной ошибочной строки кода — может стать точкой входа для атаки. (Источник: BlockBeats)
MCP Protocol выявляет уязвимость RCE на уровне дизайна, Anthropic отказывается вносить изменения в архитектуру
KuCoinFlashПоделиться
Сводка
На уровне дизайна обнаружена уязвимость RCE в протоколе Model Context Protocol (MCP), открытом протоколе, разрабатываемом Anthropic. Эта уязвимость позволяет злоумышленникам выполнять произвольные команды на системах, использующих уязвимые реализации. Проблема возникает из-за поведения по умолчанию официального SDK Anthropic при обработке передачи STDIO и затрагивает несколько языков. OX Security сообщила о более чем 150 миллионах загрузок затронутых пакетов и тысячах экспонируемых экземпляров. Anthropic отказалась изменить протокол или поведение по умолчанию SDK, заявив, что такое поведение является «по замыслу». Эта новость об уязвимости подчеркивает риски, связанные с текущими обновлениями протоколов.
Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации.
Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.