ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Исследователи в области кибербезопасности обнаружили критическую уязвимость, заложенную в самой архитектуре протокола Model Context Protocol (MCP), которая может открыть путь для удаленного выполнения кода и иметь цепной эффект на цепочку поставок в сфере искусственного интеллекта (ИИ).

«Эта уязвимость позволяет произвольно выполнять команды (RCE) на любой системе, на которой работает уязвимая реализация MCP, предоставляя злоумышленникам прямой доступ к конфиденциальным данным пользователей, внутренним базам данных, ключам API и истории чатов», — заявили исследователи OX Security Моше Симан Тов Бустан, Мустафа Наамних, Нир Задок и Рони Бар в анализе, опубликованном на прошлой неделе.

Компания, занимающаяся кибербезопасностью, сообщила, что системная уязвимость заложена в официальный набор средств разработки программного обеспечения (SDK) MCP от Anthropic для всех поддерживаемых языков, включая Python, TypeScript, Java и Rust. В целом она затрагивает более 7 000 общедоступных серверов и программных пакетов, которые в совокупности были скачаны более 150 миллионов раз.

Проблема заключается в небезопасных настройках по умолчанию в работе конфигурации MCP через транспортный интерфейс STDIO (стандартный ввод/вывод), что привело к обнаружению 10 уязвимостей в таких популярных проектах, как LiteLLM, LangChain, LangFlow, Flowise, LettaAI и LangBot —

CVE-2026-30617 (Langchain-Chatchat)

Эти уязвимости подразделяются на четыре широкие категории, фактически вызывающие удаленное выполнение команд на сервере —

Внедрение команд без аутентификации и с аутентификацией через MCP STDIO

Внедрение неавторизованных команд через прямую настройку STDIO с обходом мер безопасности

Внедрение неавторизованных команд через редактирование конфигурации MCP посредством внедрения подсказки «zero-click»

Внедрение неавторизованных команд через торговые площадки MCP посредством сетевых запросов, запускающих скрытые конфигурации STDIO

«Протокол Model Context Protocol компании Anthropic обеспечивает прямое выполнение команд из конфигурации через интерфейс STDIO во всех своих реализациях, независимо от языка программирования», — пояснили исследователи.

«Этот код был предназначен для запуска локального сервера STDIO и возврата дескриптора STDIO обратно в LLM. Но на практике он фактически позволяет любому пользователю запускать любую произвольную команду ОС: если команда успешно создает сервер STDIO, она возвращает дескриптор, но при получении другой команды возвращает ошибку после ее выполнения».

Интересно, что уязвимости, основанные на той же основной проблеме, сообщались независимо друг от друга в течение последнего года. К ним относятся CVE-2025-49596 (MCP Inspector), LibreChat (CVE-2026-22252), WeKnora (CVE-2026-22688), @akoskm/create-mcp-server-stdio (CVE-2025-54994) и Cursor (CVE-2025-54136).

Однако компания Anthropic отказалась изменять архитектуру протокола, назвав такое поведение «ожидаемым». Хотя некоторые поставщики выпустили исправления, этот недостаток остается нерешенным в эталонной реализации MCP от Anthropic, в результате чего разработчики подвергаются рискам выполнения кода.

Эти выводы подчеркивают, как интеграции на базе ИИ могут непреднамеренно расширить поверхность атаки. Для противодействия этой угрозе рекомендуется блокировать доступ по публичным IP-адресам к конфиденциальным сервисам, отслеживать вызовы инструментов MCP, запускать сервисы с поддержкой MCP в песочнице, рассматривать внешние входные данные конфигурации MCP как недоверенные и устанавливать серверы MCP только из проверенных источников.

«То, что сделало это событием цепочки поставок, а не отдельным CVE, — это то, что одно архитектурное решение, принятое однажды, незаметно распространилось на все языки, все нижестоящие библиотеки и все проекты, которые доверяли протоколу как тому, чем он казался», — заявила OX Security. «Перекладывание ответственности на реализаторов не переносит риск. Оно просто затуманивает вопрос о том, кто его создал».