# Zranitelnost v protokolu MCP od Anthropic: proč společnost ignoruje RCE ve svém stacku
Výzkumníci z OX Security odhalili kritickou zranitelnost v protokolu Model Context Protocol (MCP) od Anthropic, která umožňuje vzdálené spuštění kódu (RCE) prostřednictvím lokálních serverů. Navzdory více než 30 kolím responsible disclosure od listopadu 2025, Anthropic odmítla provést architektonické změny a označila chování za „očekávané“. Zároveň společnost aktivně propaguje své AI modely jako nástroje pro hledání zranitelností v cizích projektech.
Architektonická vada v jádru MCP
Protokol MCP je určen k interakci mezi AI agenty a externími nástroji prostřednictvím spouštění lokálních podprocesů. Problém vzniká při zpracování příkazů: místo striktní validace spustitelné cesty protokol přijímá jakýkoli řetězec jako příkaz. Pokud příkaz skončí úspěšně a otevře port, systém ho považuje za správný. Pokud ne, vrátí se chyba, ale samotný příkaz už byl spuštěn. To vede k libovolnému spuštění kódu na hostitelské mašině bez dalších kontrol.
Zranitelnost postihuje všechny oficiální SDK od Anthropic – Python, TypeScript, Java, C#, Go, Ruby, Swift, PHP a Rust. Jakýkoli vývojář používající MCP tuto hrozbu automaticky zdědí. Podle odhadů OX Security je ohroženo až 200 000 serverů a ekosystém s více než 150 miliony stažení SDK.
Čtyři vektory útoku
Tým OX identifikoval čtyři hlavní způsoby exploitace zranitelnosti:
- Přímý přístup přes webové rozhraní – absence autentizace a filtrování umožňuje spustit libovolný příkaz přes rozhraní LangFlow (IBM) a GPT Researcher.
- Obcházení bílých seznamů – i když jsou povoleny pouze bezpečné utilitky (např.
npx), útočník může vložit malware přes argumenty příkazu. Zranitelné jsou Upsonic a Flowise. - AI editory kódu – nástroje jako Cursor, Windsurf, Claude Code, Gemini-CLI a GitHub Copilot mohou automaticky aplikovat konfigurace obsahující exploity. CVE vyšlo pouze pro Windsurf; ostatní vendori včetně Google a Microsoft problém odmítli uznat.
- Škodlivé balíčky v katalozích MCP – výzkumníci nahráli exploit balíčky do 9 z 11 veřejných marketplace. Pouze managed registry od GitHub žádost zamítl.
Dvojí standardy v bezpečnosti
Anthropic aktivně prezentuje svůj model Claude Opus 4.6 jako lídra v detekci zranitelností: podle údajů společnosti objevil více než 500 dříve neznámých chyb v populárních open-source knihovnách. V dubnu 2026 byl spuštěn Project Glasswing s ještě výkonnějším modelem Mythos, který odhaluje zero-day v jádře Linux, FreeBSD, OpenBSD, FFmpeg a hlavních prohlížečích.
Na pozadí těchto prohlášení však společnost ignoruje svou vlastní kritickou zranitelnost. Po prvním kontaktu OX Security Anthropic pouze přidal varování do souboru SECURITY.md: „STDIO adaptéry je třeba používat opatrně“. Podle výzkumníků to problém na architektonické úrovni nevyřeší.
Doporučení a současný stav
Do vydání oficiálního patchu OX Security doporučuje:
- Neumísťovat MCP služby do veřejného přístupu;
- Striktně validovat všechny příchozí konfigurace a příkazy;
- Spouštět MCP procesy v izolovaných prostředích s minimálními právy (např. přes gVisor nebo Firecracker).
Řada projektů už vydala vlastní opravy: LiteLLM, DocsGPT, Flowise a Bisheng. Platformy jako LangFlow, Agent Zero a Fay Framework však zůstávají zranitelné. Anthropic nadále tvrdí, že chování protokolu odpovídá záměru a neplánuje změny.
Co je důležité
- Zranitelnost v MCP umožňuje RCE prostřednictvím nekontrolovaného spuštění příkazů při startu lokálních serverů.
- Všechny oficiální SDK od Anthropic jsou postiženy – problém je systémový, ne lokální.
- Anthropic odmítla architektonickou opravu navzdory 30+ kolím responsible disclosure.
- Společnost zároveň propaguje AI jako nástroj pro hledání cizích zranitelností a ignoruje vlastní.
- Vývojářům se doporučuje izolovat MCP procesy a nedůvěřovat externím konfiguracím.
— Editorial Team
Zatím žádné komentáře.