RedactorИзраильская компания OX Security опубликовала подробный отчет о системной уязвимости в ядре протокола MCP, разработанного Anthropic. По данным исследователей, под угрозой находятся около 200 000 серверов и SDK, которые были скачаны более 150 миллионов раз.
В отчете отмечается, что выявлено свыше десяти уязвимостей с высокой и критической степенью опасности, включая четыре различных типа атак, приводящих к удаленному выполнению кода (RCE). С ноября 2025 года специалисты провели более 30 раундов ответственного раскрытия информации, призывая Anthropic изменить архитектуру протокола. Однако компания отвергла эти требования, назвав выявленные действия «ожидаемыми».
В то же время Anthropic активно продвигает свои ИИ-модели, способные находить уязвимости в сторонних проектах. В феврале они сообщили, что модель Claude Opus 4.6 обнаружила более 500 ранее неизвестных багов в популярных open-source библиотеках. В апреле был запущен Project Glasswing с моделью Mythos, выявляющей zero-day уязвимости в FreeBSD, OpenBSD, FFmpeg, ядре Linux и основных браузерах. Несмотря на успехи в поиске чужих дыр, собственную уязвимость компания исправлять отказалась.
Проблема связана с тем, как MCP запускает локальные серверы: протокол получает команду на поднятие сервер-подпроцесса, но фактически выполняется любая команда. Если сервер запускается успешно — возвращается нормальный ответ, если нет — ошибка, однако команда уже исполнена, что позволяет злоумышленникам выполнять произвольный код. Эта уязвимость присутствует во всех официальных SDK Anthropic — включая Python, TypeScript, Java, C#, Go, Ruby, Swift, PHP и Rust — что автоматически делает всех разработчиков уязвимыми.
OX Security выделили четыре основных способа эксплуатации данной дыры: через веб-интерфейс без аутентификации (ломаются версии LangFlow от IBM и GPT Researcher), обход защит с помощью разрешенных команд и вредоносных аргументов (уязвимы Upsonic и Flowise), через AI-редакторы кода (Cursor, Windsurf, Claude Code, Gemini-CLI и GitHub Copilot), а также через загрузку вредоносных пакетов в каталоги MCP (в 9 из 11 маркетплейсов). Только GitHub managed registry отказал в публикации вредоносного пакета.
Через неделю после первого обращения Anthropic внесла незначительное изменение в внутренний документ SECURITY.md, добавив предупреждение о необходимости осторожного использования STDIO-адаптеров, что по мнению исследователей проблему не решило. На запросы журналистов компания не ответила.
Авторы исследования из OX Security подчеркивают, что одно изменение на уровне протокола могло бы защитить все проекты, разработчиков и пользователей. В качестве временных мер рекомендуют не выставлять MCP-сервисы в интернет, не доверять входящим конфигурациям и запускать процессы в изолированной среде с ограниченными правами. Некоторые проекты, такие как LiteLLM, DocsGPT, Flowise и Bisheng, уже выпустили патчи, тогда как LangFlow, Agent Zero и Fay Framework остаются уязвимыми. Anthropic же не планирует исправлять собственный протокол, а публичный отчет по Project Glasswing ожидается лишь к июлю 2026 года.
