Около 200,000 серверов, использующих Model Context Protocol (MCP) от Anthropic, уязвимы из-за серьезной проблемы с безопасностью, обнаруженной исследователями из OX Security. Уязвимость связана с тем, что транспортный протокол STDIO выполняет любые полученные команды операционной системы, не производя их фильтрацию.
Контекст и предыстория
MCP был представлен Anthropic как открытый стандарт для взаимодействия AI-агентов с инструментами. С момента запуска в марте 2025 года его приняли OpenAI и Google DeepMind, а в декабре 2025 года протокол был передан Linux Foundation. С тех пор было скачано более 150 миллионов копий. Однако недавнее исследование показало, что многие из этих экземпляров имеют критические уязвимости.
Детали проблемы
Исследование OX Security, проведенное четырьмя экспертами, выявило, что уязвимость затрагивает все системы, использующие стандартный транспорт STDIO для соединения агентов с инструментами. В результате команды могут быть выполнены без предварительной проверки, что создает возможности для атак. Исследователи идентифицировали 7,000 серверов с публичными IP-адресами, где транспорт STDIO активен, и оценили, что всего уязвимых экземпляров может быть до 200,000.
При тестировании были подтверждены случаи выполнения произвольных команд на шести активных платформах с платящими клиентами. Результатом стал список из более чем десяти CVE, получивших высокие или критические оценки, включая такие проекты, как LiteLLM, LangFlow и Langchain-Chatchat.
Что это значит для разработчиков
Для российских разработчиков данная уязвимость подчеркивает необходимость более внимательного подхода к безопасности серверов, использующих MCP. Все проекты, которые полагаются на этот протокол, автоматически наследуют его уязвимости. Важно помнить, что уязвимость не является багом в коде, а входит в архитектурные особенности спецификации MCP.
Cредство защиты должно включать применение практик, таких как строгая фильтрация входящих данных и использование шаблонов для обработки данных. Каждой команде следует проверить свои развертывания на наличие уязвимостей, чтобы избежать серьезных последствий для бизнеса.
Следующий шаг — это комплексный аудит всех развернутых систем с использованием MCP и разработка стратегий по устранению обнаруженных уязвимостей.
