ข่าว ME รายงานว่า เมื่อวันที่ 21 เมษายน (UTC+8) ตามข้อมูลจาก Beating บริษัทด้านความปลอดภัย OX Security เปิดเผยว่า โปรโตคอลแบบเปิดที่ Anthropic เป็นผู้นำชื่อ MCP (Model Context Protocol) ซึ่งเป็นมาตรฐานสำหรับตัวแทน AI ในการเรียกใช้เครื่องมือภายนอก มีช่องโหว่ด้านการออกแบบที่อนุญาตให้โจมตีแบบรันโค้ดระยะไกล ผู้โจมตีสามารถรันคำสั่งใดๆ ก็ได้บนระบบที่ใช้การดำเนินการ MCP ที่มีช่องโหว่นี้ เพื่อเข้าถึงข้อมูลผู้ใช้ ฐานข้อมูลภายใน คีย์ API และบันทึกการสนทนา ช่องโหว่นี้ไม่ได้เกิดจากข้อผิดพลาดในการเขียนโค้ดของผู้พัฒนา แต่เกิดจากพฤติกรรมเริ่มต้นของ SDK อย่างเป็นทางการของ Anthropic ในการจัดการการส่งผ่าน STDIO โดยเวอร์ชันภาษา Python, TypeScript, Java และ Rust ต่างได้รับผลกระทบ STDIO เป็นวิธีการส่งผ่านหนึ่งของ MCP ที่ทำให้กระบวนการในท้องถิ่นสามารถสื่อสารผ่านอินพุตและเอาต์พุตมาตรฐานได้ ใน SDK อย่างเป็นทางการ ค่า StdioServerParameters จะเริ่มต้นกระบวนการย่อยโดยตรงตามพารามิเตอร์คำสั่งที่กำหนดไว้ หากนักพัฒนาไม่ได้ทำความสะอาดอินพุตเพิ่มเติม อินพุตใดๆ ที่เข้าถึงจุดนี้จะถูกแปลงเป็นคำสั่งระบบ OX Security จัดกลุ่มพื้นที่โจมตีออกเป็นสี่ประเภท: การฉีดคำสั่งโดยตรงผ่านอินเทอร์เฟซการกำหนดค่า; การหลีกเลี่ยงการกรองโดยใช้คำสั่งที่อนุญาตในรายการขาวพร้อมเครื่องหมายบรรทัด (เช่น `npx -c `) การฉีดคำแนะนำใน IDE เพื่อแก้ไขไฟล์การกำหนดค่า MCP ทำให้เครื่องมืออย่าง Windsurf สามารถเริ่มต้นบริการ STDIO ที่เป็นอันตรายโดยไม่ต้องมีการโต้ตอบจากผู้ใช้; และการแทรกการกำหนดค่า STDIO เข้าไปในคำขอ HTTP จากตลาด MCP OX Security รายงานว่า แพ็กเกจที่ได้รับผลกระทบมีจำนวนการดาวน์โหลดสะสมเกิน 150 ล้านครั้ง มีเซิร์ฟเวอร์ MCP ที่เข้าถึงได้จากภายนอกมากกว่า 7,000 เครื่อง โดยรวมแล้วมีตัวอย่างที่ถูกเปิดเผยสูงสุดถึง 200,000 ตัวอย่าง และเกี่ยวข้องกับโครงการโอเพ่นซอร์สมากกว่า 200 โครงการ ทีมงานได้รายงานความรับผิดชอบมากกว่า 30 ฉบับ และได้รับ CVE ระดับวิกฤตหรือร้ายแรงมากกว่า 10 รายการ ครอบคลุมกรอบงานและ IDE เช่น LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero, DocsGPT และในระหว่างการทดสอบ 9 จาก 11 รีพอสิตอรีของแพ็กเกจ MCP สามารถถูกแทรกการกำหนดค่าอันตรายด้วยเทคนิคนี้ได้ หลังจากการเปิดเผย Anthropic ตอบกลับว่านี่เป็น “พฤติกรรมตามการออกแบบ” (by design) และโมเดลการรันของ STDIO เป็น “การออกแบบเริ่มต้นที่ปลอดภัย” โดยถ่ายโอนความรับผิดชอบในการทำความสะอาดอินพุตให้กับนักพัฒนา และปฏิเสธที่จะเปลี่ยนแปลงในระดับโปรโตคอลหรือ SDK อย่างเป็นทางการ ผู้ผลิตอย่าง DocsGPT และ LettaAI ได้ออกแพตช์ของตนเองแล้ว แต่พฤติกรรมเริ่มต้นของการอ้างอิงของ Anthropic ยังคงไม่เปลี่ยน MCP เป็นมาตรฐานสำหรับตัวแทน AI ในการเชื่อมต่อเครื่องมือภายนอกแล้ว และ OpenAI, Google และ Microsoft ก็กำลังตามมา หากไม่มีการแก้ไขรากฐาน การให้บริการ MCP ใดๆ ก็ตามที่ใช้วิธีเริ่มต้นของ SDK เพื่อเชื่อมต่อ STDIO จะยังคงเป็นช่องทางโจมตีได้แม้ว่าจะไม่มีการเขียนโค้ดผิดพลาดแม้แต่บรรทัดเดียว (แหล่งที่มา: BlockBeats)
MCP Protocol เปิดเผยช่องโหว่ RCE ระดับการออกแบบ Anthropic ปฏิเสธการเปลี่ยนแปลงสถาปัตยกรรม
KuCoinFlashแชร์
สรุป
พบช่องโหว่ระดับการออกแบบที่ทำให้สามารถรันคำสั่งแบบสุ่มได้ (RCE) ใน Model Context Protocol (MCP) ซึ่งเป็นโปรโตคอลแบบเปิดที่ Anthropic เป็นผู้นำ การช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันคำสั่งแบบสุ่มบนระบบต่างๆ ที่ใช้การใช้งานที่มีช่องโหว่ ปัญหานี้เกิดจากพฤติกรรมเริ่มต้นของ SDK อย่างเป็นทางการของ Anthropic เมื่อจัดการกับการส่งผ่าน STDIO ซึ่งส่งผลกระทบต่อหลายภาษา OX Security รายงานว่ามีการดาวน์โหลดแพ็กเกจที่ได้รับผลกระทบมากกว่า 150 ล้านครั้ง และมีหลายพันตัวอย่างที่เปิดเผยต่อสาธารณะ Anthropic ปฏิเสธที่จะเปลี่ยนแปลงโปรโตคอลหรือค่าเริ่มต้นของ SDK โดยอ้างว่าพฤติกรรมนี้เป็น “การออกแบบมาเพื่อเช่นนั้น” ข่าวช่องโหว่นี้เน้นย้ำถึงความเสี่ยงที่เกี่ยวข้องกับการอัปเดตโปรโตคอลในปัจจุบัน
แหล่งที่มา:แสดงต้นฉบับ
คำปฏิเสธความรับผิดชอบ: ข้อมูลในหน้านี้อาจได้รับจากบุคคลที่สาม และไม่จำเป็นต้องสะท้อนถึงมุมมองหรือความคิดเห็นของ KuCoin เนื้อหานี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น โดยไม่มีการรับรองหรือการรับประกัน และจะไม่ถูกตีความว่าเป็นคำแนะนำทางการเงินหรือการลงทุน KuCoin จะไม่รับผิดชอบต่อความผิดพลาดหรือการละเว้นในเนื้อหา หรือผลลัพธ์ใดๆ ที่เกิดจากการใช้ข้อมูลนี้
การลงทุนในสินทรัพย์ดิจิทัลอาจมีความเสี่ยง โปรดประเมินความเสี่ยงของผลิตภัณฑ์และความเสี่ยงที่คุณยอมรับได้อย่างรอบคอบตามสถานการณ์ทางการเงินของคุณเอง โปรดดูข้อมูลเพิ่มเติมได้ที่ข้อกำหนดการใช้งานและเอกสารเปิดเผยข้อมูลความเสี่ยงของเรา