150 millioner nedlastinger, 7 000 offentlig tilgjengelige servere og opptil 200 000 sårbare instanser. Det er omfanget sikkerhetsforskere hos Ox Security beskriver i en ny rapport om en kritisk designfeil i Model Context Protocol (MCP), den åpne standarden Anthropic laget for å koble KI-modeller til eksterne systemer.
Feilen sitter i MCPs STDIO-grensesnitt, som ble designet for å starte lokale serverprosesser. Problemet: kommandoen kjøres uansett om prosessen starter vellykket eller ikke. Send inn en ondsinnet kommando, motta en feilmelding — og kommandoen har allerede kjørt. Ingen sanitering, ingen advarsler i utviklerverktøyene.
«Dette er ikke en tradisjonell kodefeil. Det er en arkitekturbeslutning bakt inn i Anthropics offisielle MCP SDK-er på tvers av alle støttede programmeringsspråk» — Ox Security
Ox Security har gjentatte ganger forsøkt å få Anthropic til å tette sårbarheten. Svaret: dette er «forventet oppførsel», og sanitering er utviklerens ansvar. Ox Security har i mellomtiden sendt over 30 responsible disclosures og avdekket mer enn 10 CVE-er med høy eller kritisk alvorlighetsgrad for å lappe individuelle open source-prosjekter.
Kevin Curran, IEEE-medlem og professor i cybersikkerhet ved Ulster University, kaller forskningen en «sjokkerende avdekking av et gap i sikkerheten til grunnleggende KI-infrastruktur».
Hva bør du gjøre?
- Gjennomgå alle MCP-servere du kjører — sjekk om STDIO-grensesnittet er eksponert for bruker-input, og legg til egen input-sanitering
- Oppdater MCP SDK-er og tredjepartsservere til siste versjon — flere open source-prosjekter har mottatt CVE-patcher fra Ox Security
- Vurder å kjøre MCP-servere i sandboxede miljøer (Docker, VM) til Anthropic eventuelt endrer designbeslutningen