W znanym protokole sztucznej inteligencji odkryto krytyczną lukę bezpieczeństwa, a firma Anthropic stwierdziła, że nie zajmie się jej usunięciem

Cyber‑zagrożenie w protokole MCP: jak wygląda i co należy zrobić

Jak się to objawia
Pochodzenie luki
Badacze OX Security odkryli defekt architektoniczny w Model Context Protocol (MCP).
Dotknięte SDK
Oficjalne biblioteki dla Pythona, TypeScript, Javy i Rust.
Rozmiar ryzyka
Ponad 150 mln pobrań i do 200 tysięcy serwerowych instancji korzystających z tych SDK.
Odpowiedź Anthropic
Firma stwierdziła, że protokół „behaviour expected” i nie wymaga zmian.

Czym jest MCP?
- Otwarte standard przedstawiony przez Anthropic w 2024 roku.
- Pozwala modelom AI podłączać się do zewnętrznych narzędzi, baz danych i API.
- W zeszłym roku protokół został przekazany Agentic AI Foundation przy Linux Foundation; obecnie go używają OpenAI, Google i większość narzędzi AI.

Jak działa luka
1. Interfejs STDIO
- Zapytania są wysyłane bezpośrednio do punktu wykonania poleceń bez dodatkowej weryfikacji.

2. Dziedziczenie ryzyka
- Każdy deweloper korzystający z MCP automatycznie nabywa tę słabość.

Możliwe ścieżki eksploatacji (4 rodzaje)
Nr | Typ ataku | Co robi sprawca
---|-----------|---------------
1 | Wstrzykiwanie kodu w UI bez autoryzacji | Pisze szkodliwy kod, który uruchamia się automatycznie.
2 | Ominięcie zabezpieczeń na „chronionych” platformach (Flowise) | Używa luki do obejścia wbudowanych mechanizmów bezpieczeństwa.
3 | Szkodliwe zapytania w środowiskach IDE (Windsurf, Cursor) | Uruchamia polecenia bez udziału użytkownika.
4 | Rozprzestrzenianie szkodliwych pakietów przez MCP | Publikuje złośliwy kod, który automatycznie ładują się inni użytkownicy.

Testy: badacze pomyślnie wstrzyknęli payload do 9 z 11 rejestrów MCP i udowodnili możliwość wykonania poleceń na sześciu komercyjnych platformach.

Dodatkowe znalezione luki
| Aplikacja | CVE | Status |
|-----------|-----|--------|
| LiteLLM | CVE‑2026‑30623 | Zamknięta |
| Bisheng | CVE‑2026‑33224 | Zamknięta |
| Windsurf | CVE‑2026‑30615 „Message received” (lokalne wykonanie kodu) | GPT Researcher, Agent Zero, LangChain‑Chatchat, DocsGPT – ten sam status |

Jak reaguje Anthropic
- Rekomendacje OX Security:
- Ograniczyć zapytania tylko do manifestu.
- Wprowadzić listę dozwolonych poleceń w SDK.

- Odpowiedź firmy: odmowa zmian i brak sprzeciwu wobec publikacji luki.

Co się dzieje teraz
| Wydarzenie | Aktualny stan |
|------------|---------------|
| Wyciek modelu Mythos | Anthropic prowadzi wewnętrzne śledztwo. |
| Dostęp do kodu Claude Code | Poprzednio doszło do wycieku źródłowego kodu usługi. |
| Zarządzanie MCP | Przeniesiono do Linux Foundation, ale Anthropic nadal utrzymuje SDK z luką. |

Co powinno zrobić deweloperzy
- Dopóki interfejs STDIO nie zostanie zmieniony, należy samodzielnie zaimplementować filtrację danych wejściowych.
- Sprawdzać wersje SDK i aktualizować je do najnowszych poprawek, jeśli są dostępne.
- Rozważyć wdrożenie własnych mechanizmów weryfikacji poleceń oraz ograniczeń na poziomie aplikacji.

Podsumowanie:
Luka w MCP stanowi poważne zagrożenie dla milionów użytkowników. Pomimo odmowy Anthropic zmian protokołu, deweloperzy muszą podjąć środki ochrony swoich systemów do czasu oficjalnych poprawek.