Trang chủ
Tin tức
Chi tiết

MCP Protocol phơi bày lỗ hổng RCE ở cấp độ thiết kế, Anthropic từ chối thay đổi kiến trúc

iconKuCoinFlash
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconTóm tắt

expand icon
Một lỗ hổng RCE cấp độ thiết kế đã được tiết lộ trong Giao thức Bối cảnh Mô hình (MCP), một giao thức mã nguồn mở do Anthropic dẫn dắt. Lỗ hổng này cho phép kẻ tấn công thực thi các lệnh tùy ý trên các hệ thống sử dụng các triển khai dễ bị tổn thương. Vấn đề xuất phát từ hành vi mặc định của SDK chính thức do Anthropic phát triển khi xử lý truyền tải STDIO, ảnh hưởng đến nhiều ngôn ngữ. OX Security báo cáo hơn 150 triệu lần tải về các gói bị ảnh hưởng và hàng ngàn trường hợp bị phơi bày. Anthropic đã từ chối thay đổi giao thức hoặc các thiết lập mặc định của SDK, cho rằng hành vi này là “được thiết kế sẵn”. Tin tức về lỗ hổng này làm nổi bật những rủi ro liên quan đến các bản cập nhật giao thức hiện tại.

Tin tức từ ME News, ngày 21 tháng 4 (UTC+8), theo giám sát của Beating, công ty an ninh OX Security vừa tiết lộ rằng giao thức mở do Anthropic dẫn dắt, MCP (Model Context Protocol – tiêu chuẩn thực tế để đại diện AI gọi công cụ bên ngoài), chứa lỗ hổng thực thi mã từ xa ở cấp độ thiết kế. Kẻ tấn công có thể thực thi bất kỳ lệnh nào trên hệ thống chạy phiên bản MCP bị lỗi, lấy được dữ liệu người dùng, cơ sở dữ liệu nội bộ, khóa API và lịch sử trò chuyện. Lỗ hổng không xuất phát từ lỗi lập trình của người triển khai, mà nằm ở hành vi mặc định của SDK chính thức do Anthropic phát triển khi xử lý truyền tải STDIO – tất cả bốn phiên bản ngôn ngữ Python, TypeScript, Java và Rust đều bị ảnh hưởng. STDIO là một phương thức truyền tải của MCP, cho phép các tiến trình cục bộ giao tiếp thông qua đầu vào/đầu ra chuẩn. Trong SDK chính thức, StdioServerParameters sẽ khởi động tiến trình con trực tiếp theo tham số lệnh được cấu hình; nếu nhà phát triển không thực hiện làm sạch đầu vào bổ sung, bất kỳ đầu vào người dùng nào đi đến bước này đều có thể trở thành lệnh hệ thống. OX Security phân loại bề mặt tấn công thành bốn nhóm: tiêm lệnh trực tiếp qua giao diện cấu hình; vượt qua làm sạch bằng cách thêm ký tự dòng vào lệnh được phép trong danh sách trắng (ví dụ: `npx -c `); tiêm thông báo trong IDE để ghi đè tệp cấu hình MCP, khiến các công cụ như Windsurf khởi động dịch vụ STDIO độc hại mà không cần tương tác người dùng; và chèn cấu hình STDIO lén lút thông qua yêu cầu HTTP từ thị trường MCP. Con số do OX Security cung cấp: tổng số lần tải xuống các gói phần mềm bị ảnh hưởng vượt quá 150 triệu lần, hơn 7.000 máy chủ MCP có thể truy cập công khai, tổng cộng phơi bày tối đa 200.000 thực thể và liên quan đến hơn 200 dự án mã nguồn mở. Nhóm đã gửi hơn 30 báo cáo tiết lộ trách nhiệm và nhận được hơn 10 CVE cấp cao hoặc nghiêm trọng, bao phủ các khung AI và IDE như LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero, DocsGPT; trong số 11 kho lưu trữ gói MCP đã kiểm tra, có 9 kho có thể bị chèn cấu hình độc hại bằng phương pháp này. Sau khi tiết lộ, Anthropic phản hồi rằng đây là “hành vi mong đợi” (by design), mô hình thực thi STDIO thuộc về “thiết kế mặc định an toàn”, và chuyển trách nhiệm làm sạch đầu vào cho nhà phát triển, từ chối thay đổi ở cấp độ giao thức hoặc SDK chính thức. Các nhà sản xuất như DocsGPT và LettaAI đã tự phát bản vá, nhưng hành vi mặc định trong thực hiện tham chiếu của Anthropic vẫn không thay đổi. MCP đã trở thành tiêu chuẩn thực tế để đại diện AI kết nối với công cụ bên ngoài, với OpenAI, Google và Microsoft đều đang theo đuổi. Trong khi gốc rễ chưa được sửa chữa, bất kỳ dịch vụ MCP nào sử dụng cách tiếp cận mặc định của SDK chính thức để kết nối STDIO – dù không viết sai một dòng mã nào – cũng có thể trở thành lối vào cho cuộc tấn công. (Nguồn: BlockBeats)

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.