Израильская команда OX Security опубликовала отчет о системной уязвимости в ядре протокола MCP от Anthropic: под угрозой до 200 000 серверов и SDK с 150 млн скачиваний. Выпущено больше 10 CVE высокой и критической серьезности, четыре разных семейства атак ведут к удаленному выполнению кода (RCE). С ноября 2025 года исследователи в рамках больше чем 30 раундов responsible disclosure просили Anthropic изменить архитектуру протокола. Компания отказалась, назвав поведение «ожидаемым».
На этом фоне Anthropic активно продвигает собственный ИИ как главного охотника за чужими уязвимостями. В феврале компания отчиталась, что модель Claude Opus 4.6 нашла больше 500 ранее неизвестных дыр в популярных open-source-библиотеках — баги, которые оставались незамеченными десятилетиями. В апреле запущен Project Glasswing с еще более мощной моделью Mythos, которая находит zero-day в FreeBSD, OpenBSD, FFmpeg, ядре Linux и во всех основных браузерах. Пока Anthropic помогает закрывать чужие уязвимости, дыру в собственном протоколе компания чинить отказалась.
Корень проблемы — в том, как MCP запускает локальные серверы. AI-приложение передает протоколу команду, которая должна поднять сервер-подпроцесс. Но на деле выполнится любая команда: если она действительно запустила сервер, вернется нормальный ответ, если нет — ошибка, но команда уже сработала. Это означает произвольное выполнение кода на машине. Изъян сидит во всех официальных SDK Anthropic — на Python, TypeScript, Java, C#, Go, Ruby, Swift, PHP и Rust, так что любой разработчик, строящий что-то на MCP, наследует его автоматически.
OX выделили четыре способа использовать эту дыру. Первый — напрямую через веб-интерфейс, без пароля и проверок: так ломаются все версии LangFlow от IBM и GPT Researcher. Второй — обход защит: команды вроде npxразрешены, но вредонос подсовывается через их аргументы; так уязвимы Upsonic и Flowise. Третий — через AI-редакторы кода: Cursor, Windsurf, Claude Code, Gemini-CLI и GitHub Copilot. CVE выпущен только для Windsurf, остальные, включая Google, Microsoft и саму Anthropic, отказались считать это уязвимостью — мол, пользователь сам соглашается менять конфигурацию. Четвертый — через каталоги MCP: исследователи успешно выложили вредоносный пакет в 9 из 11 маркетплейсов, часть из них имеет сотни тысяч посетителей в месяц. Заявку отклонил только managed registry от GitHub.
Через неделю после первого обращения Anthropic тихо обновила внутренний документ SECURITY.md, добавив предупреждение: STDIO-адаптеры следует использовать с осторожностью. По оценке исследователей, «это ничего не починило». На запросы журналистов The Register в Anthropic не ответили. Моше Симан Тов Бустан, Мустафа Наамних, Нир Задок и Рони Бар — авторы исследования из OX — подытожили: «Одно изменение на уровне протокола защитило бы каждый проект, каждого разработчика и каждого пользователя. Это и значит — отвечать за свой стек».
До патча OX советует не выставлять MCP-сервисы наружу в интернет, не доверять тому, что приходит в настройки, и запускать MCP-процессы в изолированной среде с урезанными правами. Свои патчи уже выпустили LiteLLM, DocsGPT, Flowise и Bisheng. LangFlow, Agent Zero и Fay Framework пока остаются дырявыми. Саму проблему в протоколе Anthropic чинить не собирается. Публичный отчёт по Project Glasswing компания обещает только к июлю 2026 года.
P.S. Поддержать меня можно подпиской на канал «сбежавшая нейросеть«, где я рассказываю про ИИ с творческой стороны.
ссылка на оригинал статьи https://habr.com/ru/articles/1025116/