Уязвимость в протоколе MCP от Anthropic угрожает сотням тысяч серверов

Опубликовано | Опубликовано Автор

Израильская команда OX Security опубликовала доклад о серьезной уязвимости в ядре протокола MCP, разработанного компанией Anthropic. По оценкам экспертов, в зоне риска находятся около 200 000 серверов и SDK, загруженные более 150 миллионов раз. Было зарегистрировано более десяти уязвимостей высокой и критической степени опасности, а четыре различные категории атак позволяют злоумышленникам выполнять удаленный код на уязвимых системах.

С ноября 2025 года исследователи неоднократно обращались к Anthropic с просьбой изменить архитектуру протокола, однако компания отказалась от исправления, называя возникшие проблемы «ожидаемыми».

В то же время Anthropic активно продвигает свои ИИ-модели, позиционируя их как эффективных охотников за уязвимостями в сторонних проектах. В феврале 2026 года компания сообщила, что модель Claude Opus 4.6 обнаружила более 500 ранее неизвестных багов в популярных open-source-библиотеках. В апреле стартовал Project Glasswing с новой моделью Mythos, способной выявлять zero-day уязвимости в FreeBSD, OpenBSD, FFmpeg, ядре Linux и основных браузерах. Однако, несмотря на помощь в устранении чужих уязвимостей, Anthropic отказалась исправлять собственную.

Основная проблема связана с тем, как MCP запускает локальные серверы: команда, передаваемая протоколу, должна запускать сервер-подпроцесс, но на самом деле выполняется любая команда, что приводит к произвольному вполнению кода. Уязвимость присутствует во всех официальных SDK Anthropic, включая Python, TypeScript, Java, C#, Go, Ruby, Swift, PHP и Rust.

OX Security выделили четыре способа эксплуатации данной дыры: через веб-интерфейс без проверки доступа, обход защит с использованием разрешенных команд, атаки через AI-редакторы кода и распространение вредоносных пакетов через каталоги MCP.

После обращений Anthropic лишь обновила внутреннюю документацию, добавив предупреждение об осторожном использовании STDIO-адаптеров, что, по мнению исследователей, не решило проблему. Компния не дала комментариев журналистам, а эксперты OX Security призвали Anthropic отвечать за безопасность своего стека.

о выпуска патча специалисты советуют не выставлять MCP-сервисы в интернет, не доверять внешним настройкам и запускать процессы в изолированной среде с ограниченными правами. Патчи уже выпустили LiteLLM, DocsGPT, Flowise и Bisheng, тогда как LangFlow, Agent Zero и Fay Framework остаются уязвимыми. Anthropic планирует опубликовать отчет по Project Glasswing не ранее июля 2026 года.