Исследователи из компании OX Security (специализируется на безопасности цепочек поставок ПО) обнаружили архитектурную уязвимость в Model Context Protocol — открытом стандарте Anthropic, позволяющем ИИ-моделям подключаться к внешним инструментам, базам данных и API.
Уязвимость позволяет выполнить произвольный код на любой машине с уязвимой реализацией MCP. Затронуты официальные SDK на Python, TypeScript, Java и Rust. По оценкам исследователей, под угрозой находятся до 200 000 серверных инстанций и более 150 миллионов загрузок по всей цепочке зависимостей.
Anthropic отказалась выпускать патч. В ответ на сообщение об уязвимости компания заявила, что поведение системы «ожидаемое». OX Security предлагала простые решения на уровне протокола — например, запуск только из манифеста или белый список разрешённых команд в SDK. Anthropic от предложений отказалась и не возражала против публикации отчёта.
Ирония ситуации в том, что буквально за неделю до публикации Anthropic представила Claude Mythos с режимом поиска уязвимостей в чужом коде. Исследователи OX прямо указали на это противоречие, назвав свои находки «призывом к действию» — применить к собственной инфраструктуре те же стандарты, которые компания продаёт другим.
MCP был создан Anthropic в конце 2024 года и передан под управление Linux Foundation в декабре. Протокол уже приняли OpenAI, Google и большинство популярных AI-инструментов для разработчиков. Формально ответственность за управление протоколом теперь лежит на Linux Foundation — но поддержка референсных SDK по-прежнему за Anthropic, и именно в них находится источник уязвимости.
До тех пор пока STDIO-обработка не будет исправлена в исходниках, разработчикам придётся самостоятельно добавлять санитизацию входных данных в свои реализации.
