Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Cyber Security News · 20.4., 20:11 · sikkerhet

RCE-hull i Flowise og MCP-SDKer rammer 200 000 instanser — Anthropic avviser protokollfiks

SYNOPSIS_GENERERT

Sikkerhetsfirmaet OX Security har dokumentert en kritisk RCE-sårbarhet i Model Context Protocol som påvirker Flowise, LiteLLM, LangChain, Windsurf og IBM LangFlow, med minst ti CVE-er utstedt og rundt 200 000 sårbare instanser i bruk. Anthropic kaller oppførselen «forventet» og avviser en protokollnivå-fiks.

OX Security publiserte denne uken funnene fra en bredere kartlegging av Model Context Protocol-økosystemet. Feilen ligger ikke i én enkelt plattform, men i Anthropics offisielle MCP-SDK-er for Python, TypeScript, Java og Rust. Enhver utvikler som bygger på MCP arver eksponeringen, skriver Cyber Security News, og angrepsflaten strekker seg over hele KI-forsyningskjeden.

Angripere kan utføre vilkårlige kommandoer på sårbare systemer, med direkte tilgang til sensitive brukerdata, interne databaser, API-nøkler og chat-historikk. Forskerne utførte live-kommandoer på seks produksjonsplattformer under kartleggingen. Flowise er blant de hardest rammede: OX identifiserte en «hardening bypass» som gjør at selv miljøer med ekstra beskyttelse kan utnyttes via MCP-adapter-grensesnittene.

«Denne sårbarheten stammer fra en arkitekturbeslutning innbakt i Anthropics offisielle MCP-SDK-er på tvers av Python, TypeScript, Java og Rust» — OX Security, via Cyber Security News

>_ NØKKELTALL
150 millioner
Nedlastinger av berørte MCP-biblioteker
7 000+
Offentlig tilgjengelige servere identifisert
200 000
Estimerte sårbare instanser på tvers av økosystemet
10 CVE-er
Utstedt så langt, inkludert LiteLLM, LangChain, Windsurf, DocsGPT og IBM LangFlow

Fire distinkte angrepsfamilier er bekreftet: uautentisert UI-injeksjon i populære KI-rammeverk, hardening-bypass i «beskyttede» miljøer som Flowise, zero-click prompt injection i KI-IDE-er som Windsurf og Cursor, og distribusjon av ondsinnede MCP-servere. Av elleve MCP-registre testet, ble ni forgiftet under forskningen.

OX Security anbefalte flere ganger rot-patcher til Anthropic som ville beskyttet millioner av nedstrøms brukere. Anthropic avviste og beskrev oppførselen som «forventet». Selskapet protesterte heller ikke mot publisering av funnene. Det plasserer ansvaret for inneslutning hos deg som driver MCP-tjenester.

Hva bør du gjøre?

  1. Blokker offentlig internett-eksponering av KI-tjenester som er koblet til sensitive APIer eller databaser. Flytt Flowise, LiteLLM og liknende bak VPN eller Tailscale i dag.
  2. Behandle all ekstern MCP-konfigurasjonsinput som utrustet. Ikke la brukerinput nå StdioServerParameters under noen omstendighet.
  3. Installer MCP-servere kun fra verifiserte kilder, som det offisielle GitHub MCP Registry. Ni av elleve registre ble forgiftet under OX-testen.
  4. Kjør MCP-aktiverte tjenester i sandkasser med minimale rettigheter, og overvåk agent-verktøykall for uventet utgående aktivitet.
  5. Oppdater Flowise, LiteLLM, LangChain, GPT Researcher, Windsurf, DocsGPT og LangFlow til nyeste patchede versjoner umiddelbart.

Bakgrunn

Model Context Protocol ble lansert av Anthropic i slutten av 2024 som en åpen standard for hvordan KI-agenter kobler seg til eksterne verktøy og datakilder. Protokollen har hatt eksplosiv adopsjon — CuratedMCP teller nå over 64 verifiserte servere i økosystemet. Denne funnene viser at sikkerhetsmodenheten ikke har fulgt etter adopsjonen, og at ansvarsfordelingen mellom protokollforfatter og implementør fortsatt er uavklart.

Åpne eksternt kildedokument
sikkerhetMCPAnthropic

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN