Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Assured · 7.5., 00:22 · sikkerhet

Forskere: 200 000 MCP-servere åpne for RCE — Anthropic kaller det «forventet oppførsel»

SYNOPSIS_GENERERT

Ox Security hevder en systemisk svakhet i Model Context Protocol gjør opptil 200 000 MCP-servere sårbare for remote code execution. Anthropic nekter å patche og legger ansvaret på utviklere som bruker STDIO-adaptere.

Ox Security publiserte 6. mai en analyse som kobler en arbitrær kommando-eksekverings-svakhet i Model Context Protocol til opptil 200 000 sårbare MCP-servere og programvarepakker med over 150 millioner nedlastinger. Forskerne fant feilen mens de gransket open source-prosjektet GPT Researcher, og sporet den tilbake til hvordan MCP bruker STDIO til å koble KI-modeller til datakilder.

Problemet, ifølge Ox: når MCP-adaptere prøver å starte en lokal MCP-server og kommandoen feiler, returnerer koden en feil, men kommandoen blir likevel utført. Forskerne har faktisk eksekvert kommandoer på seks live produksjonsplattformer og funnet kritiske svakheter i LiteLLM, LangChain og IBMs LangFlow. Ti CVE-er med severity «critical» eller «high» er allerede utstedt.

«Developer machines are the new perimeter. Employees using AI coding tools, such as IDEs and coding agents, are exposed via their MCP configurations.» — Moshe Siman Tov Bustan, research team lead, Ox Security

Fire angrepsvektorer er beskrevet: uautentisert UI-injeksjon, hardening-bypass, zero-click prompt injection som modifiserer MCP-konfigurasjoner i kode-IDE-er, og forgiftning av MCP-marketplaces. Forskerne lastet opp en ondsinnet proof-of-concept til 9 av 11 markedsplasser uten å bli stoppet.

Anthropic har fastholdt at oppførselen er «expected» og oppdatert sikkerhetsdokumentasjonen for å minne utviklere om å være forsiktige med STDIO-adaptere. Ansvaret skyves dermed til open source-fellesskapet som bygger på protokollen. Kevin Curran, IEEE-medlem ved Ulster University, mener feilen «looks more like an application-level input validation failure» enn en bug i selve protokollen, men advarer likevel om at STDIO er standard-onramp i nesten alle agentic dev-verktøy, og at fiks må skje på tusenvis av integrasjonspunkter.

Hva bør du gjøre?

  1. Audit MCP-serverne dine: hvilke kjører lokalt, hvilke peker mot sensitive data, og hvem kan endre konfig-filer?
  2. Blokker STDIO-transport som default hvis du har valget; sett opp allowlister for tillatte kommandoer.
  3. Bruk kun servere fra det offisielle GitHub MCP Registry og unngå ukurerte marketplaces som Smithery-likes.
  4. Roter alle credentials som har vært tilgjengelig fra utviklermaskiner med MCP-konfigurert tilgang.

Bakgrunn

MCP er Anthropics protokoll for å koble språkmodeller til verktøy og data, og er blitt de facto-standard for agent-stacks i 2026. STDIO-adapteren er det vanligste oppsettet på utviklermaskiner fordi den ikke krever nettverksoppsett.

Åpne eksternt kildedokument
MCPsikkerhetAnthropic

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN