Критическая уязвимость в протоколе MCP: Anthropic считает это нормой

Брешь затрагивает более 7000 серверов и свыше 150 миллионов загрузок — а разработчики протокола отказались её исправлять

Команда специалистов по безопасности из компании OX Security выявила серьёзную архитектурную проблему в протоколе MCP (Model Context Protocol) — стандарте от Anthropic, который позволяет ИИ-агентам работать с внешними инструментами и данными. Исследование длилось с ноября 2025 года и сопровождалось более чем 30 уведомлениями об уязвимостях в адрес различных команд.

Как работает уязвимость

Проблема скрыта в транспортном интерфейсе STDIO, который MCP использует для локальной коммуникации между ИИ-приложением и сервером. Механизм устроен так, что при запуске MCP-сервера как подпроцесса система фактически выполняет любую переданную команду на уровне операционной системы — вне зависимости от того, успешно ли завершился запуск сервера.

Уязвимость присутствует в официальных SDK для Python, TypeScript, Java и Rust — то есть все разработчики, использующие стандартный инструментарий, автоматически оказываются под угрозой. Суммарное число загрузок затронутых пакетов превышает 150 миллионов.

Что нашли помимо основной проблемы

Параллельно исследователи обнаружили 10 отдельных уязвимостей в широко используемых ИИ-проектах: LiteLLM, LangChain, LangFlow, Flowise, GPT Researcher, Agent Zero, Windsurf и других. Им присвоены идентификаторы CVE-2025-65720 — CVE-2026-40933. На момент публикации исправления вышли лишь для трёх проектов: LiteLLM, Bisheng и DocsGPT.

Четыре типа атак

1. Прямая инъекция команд — злоумышленник выполняет произвольные команды на сервере напрямую, как с аутентификацией, так и без неё.

2. Обход защитных ограничений — некоторые проекты (Upsonic, Flowise) разрешают только определённые команды вроде python или npx, однако атакующие обходят это ограничение, передавая вредоносный код через аргументы.

3. Zero-click атака на IDE и ИИ-ассистенты — вредоносный промпт способен напрямую изменить конфигурацию MCP в таких инструментах, как Claude Code, Cursor, Windsurf, Gemini-CLI и GitHub Copilot, без какого-либо взаимодействия со стороны пользователя.

4. Отравление маркетплейсов — исследователям удалось разместить вредоносные MCP-серверы в 9 из 11 популярных каталогов, включая платформы с сотнями тысяч ежемесячных пользователей.

«Один вредоносный сервер в таком каталоге может быть установлен тысячами разработчиков прежде, чем его кто-то заметит — и каждая такая установка откроет злоумышленникам полный доступ к машине»

Позиция Anthropic: «всё работает как задумано»

Несмотря на многократные обращения, Anthropic отказалась вносить изменения на уровне протокола, охарактеризовав описанное поведение как штатное. Спустя неделю после первого контакта компания всё же обновила документацию, добавив предупреждение об осторожном использовании STDIO — однако, по мнению исследователей, это не устраняет проблему, а лишь перекладывает ответственность на сторонних разработчиков.

Как защититься

До появления системного решения специалисты OX Security советуют закрыть MCP-сервисы от публичного доступа, вести мониторинг всех вызовов MCP-инструментов, запускать серверы в изолированной среде, относиться к любым внешним MCP-конфигурациям как к потенциально опасным и устанавливать MCP-серверы исключительно из проверенных источников.