A jól ismert mesterséges intelligencia protokollban kritikus sebezhetőség található, és az Anthropic vállalat azt állítja, hogy nem fogja orvosolni.

Kiberfenyegetés az MCP protokollban: hogyan néz ki és mit kell tenni

Miért jelentkezik? A kockázat eredete
Az OX Security kutatói architekturális hibát találtak a Model Context Protocol (MCP) rendszerben. Az érintett SDK-k
Hivatalos könyvtárak Python, TypeScript, Java és Rust nyelvekre.
Kockázati mérték
Több mint 150 millió letöltés és akár 200 ezer szerveres példány használja ezeket az SDK-kat. Válasz az Anthropic-tól
A cég azt állította, hogy a protokoll „várhatóan viselkedik”, változtatásra nincs szükség.

Mi az MCP?
- Nyílt szabvány, amelyet 2024-ben mutatott be az Anthropic.
- Lehetővé teszi az AI‑modellek számára, hogy csatlakozzanak külső eszközökhöz, adatbázisokhoz és API-khoz.
- A múlt évben a protokollt átadták az Agentic AI Foundation-nak a Linux Foundation részére; jelenleg OpenAI, Google és a legtöbb AI‑eszköz használja.

Hogyan működik a sebezhetőség
1. STDIO‑interfész
- A kérések közvetlenül a parancsok végrehajtási pontjába kerülnek további ellenőrzés nélkül.
2. Kockázat öröklése
- Bármely fejlesztő, aki MCP-t használ, automatikusan kapja ezt a gyengeséget.

Lehetséges kihasználási útvonalak (4 család)
| Szám | Támadástípus | Mit tesz a támadó |
|------|--------------|-------------------|
| 1 | Kód beillesztése UI-be hitelesítés nélkül | Vörös kódrészlet, amely automatikusan fut. |
| 2 | Biztonsági intézkedések megkerülése „védett” platformokon (Flowise) | A sebezhetőséget használja a beépített biztonsági mechanizmusok megkerülésére. |
| 3 | Vörös kérések IDE‑környezetekben (Windsurf, Cursor) | Parancsok futtatása felhasználói részvétel nélkül. |
| 4 | Vörös csomagok terjesztése MCP-n keresztül | Zártkód publikálása, amely automatikusan letöltődik más felhasználók által. |

- Teszt: a kutatók sikeresen beillesztettek payloadot 9-ből 11 MCP regisztrációból és bizonyították a parancsok végrehajtásának lehetőségét hat kereskedelmi platformon.

További felfedezett sebezhetőségek
| Alkalmazás | CVE | Állapot |
|------------|-----|---------|
| LiteLLM | CVE‑2026‑30623 | Zárva |
| Bisheng | CVE‑2026‑33224 | Zárva |
| Windsurf | CVE‑2026‑30615 | „Üzenet fogadva” (helyi kódvégrehajtás) |
| GPT Researcher, Agent Zero, LangChain‑Chatchat, DocsGPT | – | Ugyanaz az állapot |

Hogyan reagál az Anthropic
- OX Security ajánlásai:
- Korlátozza a kéréseket csak a manifestből.
- Hozzon létre engedélyezett parancsok listáját az SDK-ban.
- A cég válasza: változtatások elutasítása és semmilyen ellenérzést nem fejezett ki a sebezhetőség publikálása ellen.

Mi történik most
Esemény | Jelenlegi állapot |
---|---
Mythos adatlopás | Az Anthropic belső vizsgálatot végez. |
Claude Code kódfelfedés | Korábban történt egy szolgáltatás forráskódjának felfedése. |
MCP kezelése | Átkerült a Linux Foundation-nak, de az Anthropic még mindig támogatja a sebezhető SDK-t.

Mit kell tenni a fejlesztőknek
- Amíg a STDIO‑interfész nem módosul, saját szűrést kell megvalósítani a bemeneti adatokra.
- Ellenőrizze az SDK verzióit és frissítse őket a legújabb javításokkal, ha elérhetők.
- Fontolja meg saját parancsellenőrzési mechanizmusok és alkalmazás szintű korlátozások bevezetését.

Összegzés:
Az MCP sebezhetősége komoly fenyegetést jelent a milliók számára. Bár az Anthropic elutasította a protokoll módosítását, a fejlesztőknek lépéseket kell tennie a rendszereik védelmére addig, amíg hivatalos javítás nem kerül kiadásra.