Критическая уязвимость в Model Context Protocol от Anthropic

15 апреля 2026 года компания OX Security опубликовала бюллетень безопасности под названием "The Mother of All AI Supply Chains", раскрыв критическую уязвимость в Model Context Protocol (MCP) от Anthropic. Этот протокол за несколько месяцев стал де-факто стандартом для взаимодействия языковых моделей с внешними инструментами, базами данных и API, его поддерживают Google с Gemini CLI, OpenAI с Agents SDK, а также тысячи кастомных интеграций. Уязвимость позволяет злоумышленникам выполнять произвольные команды в операционной системе более 200 000 серверов, интегрирующих MCP, включая 7000 публично доступных в интернете. Исследователи OX Security — Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok и Roni Bar — начали расследование в ноябре 2025 года и за пять месяцев задокументировали системную проблему в официальных SDK Anthropic для Python, TypeScript, Java и Rust. Проблема заложена в проектном решении: SDK не проверяет параметры command (исполняемый файл, например, python или npx) и args (аргументы), передавая их напрямую операционной системе, что приводит к RCE (remote code execution). Уже присвоено 14 CVE, выявлено более 30 подобных проблем в продуктах вроде LiteLLM, LangFlow, Windsurf, Cursor, Flowise, DocsGPT и GPT Researcher, с суммарными загрузками свыше 150 миллионов.

Уязвимость затрагивает свыше 150 миллионов суммарных загрузок SDK и шесть официальных сервисов крупных компаний на момент публикации. Исследователи выявили четыре семейства эксплойтов: белые списки команд обходятся через аргументы вроде npx -c "rm -rf /" или python -c "import os; os.system('...')", где флаги типа -c запускают shell-команды. OX Security следовала процедуре responsible disclosure, приватно сообщив Anthropic до публикации. Однако Anthropic отреагировала заявлением "ожидаемое поведение" и отказалась менять архитектуру, подчеркнув: "Санитизация это ответственность разработчика клиента". Компания считает, что пользователи SDK обязаны фильтровать входные данные перед передачей в конструктор StdioServerParameters, оставляя проблему на стороне интеграторов.

Последствия для рынка оказались значительными: blast radius охватывает 200 000 потенциально скомпрометированных серверов, что подорвало доверие к MCP как стандарту и спровоцировало бурные дискуссии в AI-экосистеме. Разработчики продуктов вроде Cursor и Flowise выпустили патчи, усложнившие митигацию до парсинга shell-синтаксиса, но полная санация требует переработки тысяч интеграций. Для пользователей и компаний это означает повышенные риски компрометации инфраструктуры, необходимость аудита MCP-интеграций и перехода на альтернативные протоколы, что замедлит adoption стандарта и усилит фокус на безопасности в AI supply chain. В итоге Anthropic сохраняет позицию, но рынок ожидает фрагментации протоколов и роста инвестиций в валидацию SDK.

Уязвимость в Model Context Protocol (MCP) от Anthropic может повлиять на безопасность миллионов серверов. Разработчики уже выпустили патчи, но полная санация требует значительных усилий.

Источник: https://openai.com/index/introducing-openai-privacy-filter