ME News повідомляє, що 21 квітня (UTC+8), за даними моніторингу Beating, компанія з кібербезпеки OX Security недавно розкрила вразливість виконання віддаленого коду на рівні дизайну відкритого протоколу MCP (Model Context Protocol), який є стандартом для виклику AI-агентами зовнішніх інструментів. Зловмисники можуть виконувати довільні команди на будь-якій системі, що використовує вразливу реалізацію MCP, отримуючи доступ до користувацьких даних, внутрішніх баз даних, API-ключів та історії чатів. Вразливість не пов’язана з помилками кодування розробників, а виникає через стандартну поведінку офіційного SDK Anthropic при обробці передачі STDIO — це стосується версій на чотирьох мовах: Python, TypeScript, Java та Rust. STDIO — це один із способів передачі даних у MCP, що дозволяє локальним процесам спілкуватися через стандартний ввід/вивід. У офіційному SDK параметр StdioServerParameters безпосередньо запускає дочірній процес на основі параметрів команди з конфігурації; якщо розробник не проводить додаткової очистки вводу, будь-який користувацький ввід, що досягає цього етапу, перетворюється на системну команду. OX Security класифікувала атакувані поверхні на чотири категорії: безпосереднє введення команд через інтерфейс конфігурації; обхід очистки шляхом додавання позначок до команд, дозволених у білому списку (наприклад, `npx -c `); ін'єкція підказок у IDE для зміни файлу конфігурації MCP, що дозволяє інструментам, таким як Windsurf, запускати шкідливий STDIO-сервіс без взаємодії з користувачем; та приховане внесення STDIO-конфігурації через HTTP-запити на ринку MCP. OX Security наводить цифри: загальна кількість завантажень вразливих пакетів перевищує 150 мільйонів, публічно доступних MCP-серверів — понад 7000, що разом виставляє на ризик до 200 000 екземплярів і стосується більше 200 відкритих проектів. Команда подала понад 30 звітів про вразливості та отримала понад 10 CVE з класифікацією «високий» або «критичний» ризик, що охоплюють AI-фреймворки та IDE: LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero, DocsGPT тощо; у 9 з 11 протестованих репозиторіїв MCP було можливо внести шкідливу конфігурацію за допомогою цього методу. Після розкриття Anthropic відповіла, що це «передбачувана поведінка» (by design), а модель виконання STDIO є «безпечною за замовчуванням», перекладаючи відповідальність за очистку вводу на розробників і відмовляючись вносити зміни на рівні протоколу чи офіційного SDK. Такі компанії, як DocsGPT та LettaAI, вже випустили власні патчі, але стандартна поведінка референсної реалізації Anthropic залишилася незмінною. MCP уже став фактичним стандартом для підключення AI-агентів до зовнішніх інструментів — OpenAI, Google та Microsoft активно його підтримують. Доки основна проблема не буде виправлена, будь-який MCP-сервіс, що використовує стандартну конфігурацію SDK Anthropic для підключення STDIO, навіть якщо розробник не написав жодної помилкової рядки коду, може стати точкою входу для атак. (Джерело: BlockBeats)
MCP Protocol виявляє вразливість RCE на рівні дизайну, Anthropic відмовляється від змін архітектури
KuCoinFlashПоділитися
Короткий зміст
На рівні дизайну виявлено вразливість RCE у Model Context Protocol (MCP) — відкритому протоколі, що розробляється Anthropic. Ця вразливість дозволяє зловмисникам виконувати довільні команди на системах, що використовують вразливі реалізації. Проблема виникає через поведінку за замовчуванням офіційного SDK Anthropic при обробці передачі STDIO, що впливає на кілька мов програмування. OX Security повідомила про понад 150 мільйонів завантажень уражених пакетів та тисячі відкритих екземплярів. Anthropic відмовилася змінювати протокол або параметри за замовчуванням SDK, заявивши, що така поведінка є «за проектом». Ця новина про вразливість підкреслює ризики, пов’язані з поточними оновленнями протоколів.
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації.
Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.