Retour à l'accueil

Vulnérabilité MCP d'Anthropic : RCE et deux poids deux mesures

Analyse de la vulnérabilité critique dans le protocole MCP Anthropic qui permet l'exécution de code à distance. L'entreprise a refusé de la corriger malgré une divulgation responsable, continuant à promouvoir l'IA comme outil pour trouver les vulnérabilités des autres.

Anthropic ignore la RCE dans son protocole MCP — voici comment cela fonctionne
Advertisement 728x90

Vulnérabilité dans le protocole MCP d'Anthropic : Pourquoi l’entreprise ignore l’exécution de code à distance dans sa pile technologique

Des chercheurs d’OX Security ont découvert une vulnérabilité critique dans le Model Context Protocol (MCP) d’Anthropic, qui permet l’exécution de code à distance (RCE) via des serveurs locaux. Malgré plus de 30 cycles de divulgation responsable depuis novembre 2025, Anthropic a refusé de mettre en œuvre des changements architecturaux, considérant ce comportement comme « attendu ». Pendant ce temps, l’entreprise promeut activement ses modèles d’IA comme des outils pour détecter les vulnérabilités dans les projets tiers.

Défaillance architecturale au cœur du MCP

Le protocole MCP est conçu pour l’interaction entre agents IA et outils externes en lançant des sous-processus locaux. Le problème surgit lors du traitement des commandes : au lieu de valider strictement le chemin de l’exécutable, le protocole accepte n’importe quelle chaîne comme commande. Si la commande réussit et ouvre un port, le système la considère comme valide. Sinon, il renvoie une erreur — mais la commande a déjà été exécutée. Cela permet l’exécution de code arbitraire sur la machine hôte sans vérifications supplémentaires.

La vulnérabilité affecte tous les SDK officiels d’AnthropicPython, TypeScript, Java, C#, Go, Ruby, Swift, PHP et Rust. Tout développeur utilisant MCP hérite automatiquement de ce risque. OX Security estime que jusqu’à 200 000 serveurs et un écosystème avec plus de 150 millions de téléchargements de SDK sont exposés.

Google AdInline article slot

Quatre vecteurs d’attaque

L’équipe d’OX a identifié quatre façons principales d’exploiter la vulnérabilité :

  • Accès direct via interface web — l’absence d’authentification et de filtrage permet aux attaquants d’exécuter des commandes arbitraires via les interfaces LangFlow (IBM) et GPT Researcher.
  • Contournement des listes blanches — même si seuls des utilitaires sûrs sont autorisés (par ex. npx), les attaquants peuvent injecter du malware via les arguments de commande. Upsonic et Flowise sont vulnérables.
  • Éditeurs de code IA — des outils comme Cursor, Windsurf, Claude Code, Gemini-CLI et GitHub Copilot peuvent appliquer automatiquement des configurations contenant des exploits. Un CVE n’a été émis que pour Windsurf ; les autres fournisseurs, y compris Google et Microsoft, ont refusé de reconnaître le problème.
  • Paquets malveillants dans les catalogues MCP — les chercheurs ont téléversé des paquets d’exploits sur 9 des 11 places de marché publiques. Seule la registre gérée de GitHub a rejeté la soumission.

Double standard en matière de sécurité

Anthropic positionne son modèle Claude Opus 4.6 comme leader en détection de vulnérabilités : selon l’entreprise, il a découvert plus de 500 bugs inconnus dans des bibliothèques open source populaires. En avril 2026, le Project Glasswing a été lancé avec le modèle encore plus puissant Mythos, qui détecte des zero-days dans le noyau Linux, FreeBSD, OpenBSD, FFmpeg et les principaux navigateurs.

Pourtant, au milieu de ces affirmations, l’entreprise ignore sa propre faille critique. Après le rapport initial d’OX Security, Anthropic s’est contenté d’ajouter un avertissement dans son fichier SECURITY.md : « Les adaptateurs STDIO doivent être utilisés avec prudence. » Les chercheurs estiment que cela ne résout pas le problème architectural.

Google AdInline article slot

Recommandations et état actuel

En attendant un correctif officiel, OX Security recommande :

  • De ne pas exposer publiquement les services MCP ;
  • De valider strictement toutes les configurations et commandes entrantes ;
  • D’exécuter les processus MCP dans des environnements isolés avec des privilèges minimaux (par ex. via gVisor ou Firecracker).

Plusieurs projets ont déjà publié leurs propres correctifs : LiteLLM, DocsGPT, Flowise et Bisheng. Cependant, des plateformes comme LangFlow, Agent Zero et Fay Framework restent vulnérables. Anthropic continue d’affirmer que le protocole se comporte comme prévu et n’envisage aucun changement.

Enseignements clés

  • La vulnérabilité MCP permet l’RCE via l’exécution de commandes non contrôlées lors du lancement de serveurs locaux.
  • Tous les SDK officiels d’Anthropic sont affectés — c’est un problème systémique, pas isolé.
  • Anthropic a rejeté les correctifs architecturaux malgré plus de 30 cycles de divulgation responsable.
  • L’entreprise promeut l’IA pour trouver les vulnérabilités des autres tout en ignorant les siennes.
  • Les développeurs doivent isoler les processus MCP et éviter de faire confiance aux configurations externes.

— Editorial Team

Google AdInline article slot
Advertisement 728x90

Lire ensuite