Hva gjør du når protokollen selv er hullet? OX Security publiserte i forrige uke en analyse som viser at sårbarheten ligger i kjernen av Model Context Protocol, ikke i enkelt-implementasjoner. Feilen treffer Anthropics offisielle SDK i alle støttede språk: Python, TypeScript, Java og Rust. Til sammen rammer den mer enn 7 000 offentlig tilgjengelige servere og pakker med over 150 millioner nedlastinger.
Den tekniske rota er STDIO-transporten, kanalen MCP bruker for å snakke med lokale prosesser. Koden som skal starte en lokal STDIO-server, lar i praksis hvem som helst kjøre vilkårlige OS-kommandoer. Hvis kommandoen lykkes med å opprette en STDIO-server, returnerer den en handle. Hvis den gjør noe annet, returnerer den en feil, men først etter at kommandoen er utført.
«What made this a supply chain event rather than a single CVE is that one architectural decision, made once, propagated silently into every language, every downstream library, and every project that trusted the protocol to be what it appeared to be. Shifting responsibility to implementers does not transfer the risk. It just obscures who created it.» — OX Security-forskerne
Hvem er rammet
OX har tildelt 11 CVE-er fordelt på populære prosjekter. LiteLLM (CVE-2026-30623), LangChain-Chatchat (CVE-2026-30617), Flowise (CVE-2026-40933), LettaAI, LangBot, Agent Zero, Fay Framework, Upsonic, Windsurf, DocsGPT, Jaaz, Bisheng og GPT Researcher har alle enten patchet eller står fortsatt åpent. Sårbarhetene faller i fire kategorier: uautentisert kommandoinjeksjon via STDIO, direkte STDIO-konfig med hardening-bypass, zero-click prompt injection som redigerer MCP-konfigen, og MCP-markedsplasser som trigger skjulte STDIO-konfigurasjoner via nettverksforespørsler.
Dette er ikke første gangen klassen dukker opp. CVE-2025-49596 i MCP Inspector, CVE-2025-54136 i Cursor og fire andre er rapportert uavhengig i løpet av året, og alle stammer fra samme kjerneproblem.
Anthropics respons
Anthropic har avvist å endre protokollens arkitektur og klassifiserer oppførselen som «forventet». Det betyr at hvert prosjekt som bygger på Anthropics referanse-implementasjon arver kode-kjøringsrisikoen med mindre de selv legger på sanitering på toppen.
Hva bør du gjøre?
- Audit alle MCP-servere du kjører. Blokker offentlig IP-tilgang til sensitive MCP-endepunkter og flytt servere bak autentisering eller VPN.
- Sandboks alle MCP-aktiverte tjenester. Kjør dem som uprivilegerte brukere i containere med minimale filsystem-rettigheter, slik at en RCE ikke gir tilgang til API-nøkler, databaser eller chat-historikk.
- Behandle all ekstern MCP-konfigurasjon som utrustert. Installer aldri MCP-servere fra markedsplasser eller tredjeparts repoer uten å lese kommandoene som kjøres. Følg LiteLLM, Bisheng og DocsGPT for patcher, siden de tre allerede er fikset.
- Hvis du bygger egne agenter på Anthropics SDK, legg på eksplisitt input-validering og kommandofiltrering før konfigurasjon når STDIO-laget. Referanse-implementasjonen gir deg ikke dette gratis.
Bakgrunn
MCP ble lansert av Anthropic i fjor som en åpen standard for å la KI-modeller snakke med verktøy og datakilder. Økosystemet har vokst eksplosivt: LangChain, LlamaIndex, Cursor, Windsurf og hundretalls andre prosjekter har adoptert protokollen. Det gjør problemet verre, fordi enhver arkitektonisk feil i referanse-SDK-ene spres lydløst gjennom hele stabelen. Svakheten er et lærebokseksempel på dev-tool-as-execution-primitive: verktøy som er designet for å gjøre utviklere produktive, blir angrepsflate når input-validering er antatt i stedet for skrevet.