Hva skjer når en designbeslutning i en kjerne-SDK arves av tusenvis av nedstrømsprosjekter? Du får 7 374 sårbare servere indeksert på Shodan og fire CVE-er i én og samme rapport. OX Security publiserte funnet 15. april 2026 og hevder feilen ligger i Anthropics SDK-er selv, ikke i prosjektene som bygger på dem.
Roten ligger i hvordan MCPs STDIO-grensesnitt starter lokale serverprosesser. Kommandoen kjøres uavhengig av om prosessen faktisk starter. Send inn en ondsinnet kommando, få en feilmelding tilbake, og kommandoen kjører fortsatt. Designet er identisk i Python-, TypeScript-, Java- og Rust-versjonene Anthropic vedlikeholder.
«Dette er ikke en tradisjonell kodefeil. Det er en arkitektonisk designbeslutning bakt inn i Anthropics offisielle MCP-SDK-er på tvers av alle støttede programmeringsspråk.» — OX Security, advisory 15. april 2026
Anthropic bekreftet adferden, men avviste å endre protokollen. Selskapet hevder STDIO-modellen er en «sikker standard» og at sanitering er utviklerens ansvar. OX-teamet svarte at oppdateringen Anthropic publiserte etter første disclosure «ikke fikset noe», kun la til en advarsel om å bruke STDIO-adaptere «med forsiktighet».
«Én arkitektonisk endring på protokollnivå ville beskyttet hvert nedstrømsprosjekt, hver utvikler og hver sluttbruker som stoler på MCP i dag.» — OX Security, sitert av The Register
De fire vektorene er ikke teoretiske. LangFlow har 915 åpne instanser med uautentiserte sesjonstokens som gir full server-overtakelse uten innlogging. Windsurf har en zero-click prompt injection (CVE-2026-30615). Upsonic (CVE-2026-30625) og Flowise (GHSA-c9gw-hvqq-f33r) prøvde å herde mot kommandoinjeksjon ved å whiteliste «python», «npm» og «npx», men det holdt ikke. GPT Researcher fikk CVE-2025-65720. Av elleve testede MCP-markedsplasser kompromitterte forskerne ni.
Hva bør du gjøre?
- Audit MCP-serverne dine nå. Søk etter STDIO-baserte adaptere i prosjekter som bygger på Anthropics offisielle SDK-er. Sjekk om brukerinput når execve-kall uten validering på veien.
- Whiteliste kommandoer alene holder ikke. Upsonic og Flowise ble omgått selv med streng filtrering. Kombiner allowlists med sandboxing (firejail, gVisor eller container-isolasjon med dropped capabilities).
- Ta ned offentlig eksponerte instanser. Hvis MCP-serveren din lytter på 0.0.0.0, flytt den bak VPN eller mTLS i dag. 7 374 servere er allerede indeksert på Shodan.
- Følg CVE-trådene tett. LangFlow har ennå ingen CVE tildelt, og disclosure ble gjort 11. januar uten patch. Sjekk GitHub-issues og release-notater før du oppgraderer prosjekter du eksponerer for nettet.