# Luka w protokole MCP od Anthropic: dlaczego firma ignoruje RCE w swoim stosie
Badacze z OX Security odkryli krytyczną lukę w protokole Model Context Protocol (MCP) od Anthropic, umożliwiającą zdalne wykonanie kodu (RCE) za pośrednictwem lokalnych serwerów. Mimo ponad 30 rund responsible disclosure od listopada 2025 roku, Anthropic odmówiła wprowadzenia zmian architektonicznych, określając to zachowanie jako „oczekiwane”. Jednocześnie firma aktywnie promuje swoje modele AI jako narzędzia do wyszukiwania luk w projektach stron trzecich.
Architektoniczna wada w podstawie MCP
Protokół MCP służy do interakcji między agentami AI a zewnętrznymi narzędziami poprzez uruchamianie lokalnych podprocesów. Problem pojawia się podczas przetwarzania poleceń: zamiast ścisłej walidacji ścieżki wykonywalnej protokół akceptuje dowolny ciąg znaków jako polecenie. Jeśli polecenie kończy się sukcesem i otwiera port, system uznaje je za poprawne. Jeśli nie — zwracany jest błąd, ale samo polecenie już zostało wykonane. Prowadzi to do dowolnego wykonywania kodu na maszynie hostującej bez dodatkowych sprawdzeń.
Luka dotyczy wszystkich oficjalnych SDK Anthropic — Python, TypeScript, Java, C#, Go, Ruby, Swift, PHP i Rust. Każdy deweloper korzystający z MCP automatycznie dziedziczy to zagrożenie. Według szacunków OX Security pod ryzykiem znajduje się nawet 200 000 serwerów i ekosystem z ponad 150 mln pobrań SDK.
Cztery wektory ataku
Zespół OX wyróżnił cztery główne sposoby wykorzystania luki:
- Bezpośredni dostęp przez interfejs webowy — brak uwierzytelniania i filtrowania pozwala na wykonanie dowolnego polecenia za pośrednictwem interfejsów LangFlow (IBM) i GPT Researcher.
- Ominięcie białych list — nawet jeśli dozwolone są tylko bezpieczne narzędzia (np.
npx), napastnik może wstrzyknąć złośliwy kod przez argumenty polecenia. Podatne są Upsonic i Flowise. - Edytory kodu oparte na AI — narzędzia takie jak Cursor, Windsurf, Claude Code, Gemini-CLI i GitHub Copilot mogą automatycznie stosować konfiguracje zawierające exploity. CVE wydano tylko dla Windsurf; pozostali dostawcy, w tym Google i Microsoft, odmówili uznania problemu.
- Złośliwe pakiety w katalogach MCP — badacze przesłali pakiety z exploitami do 9 z 11 publicznych marketplace'ów. Tylko managed registry od GitHub odrzucił zgłoszenie.
Podwójne standardy w bezpieczeństwie
Anthropic aktywnie pozycjonuje swój model Claude Opus 4.6 jako lidera w wykrywaniu luk: według danych firmy znalazł ponad 500 wcześniej nieznanych błędów w popularnych bibliotekach open-source. W kwietniu 2026 roku uruchomiono Project Glasswing z jeszcze potężniejszym modelem Mythos, który wykrywa zero-day w jądrze Linux, FreeBSD, OpenBSD, FFmpeg i głównych przeglądarkach.
Jednak w świetle tych deklaracji firma ignoruje własną krytyczną lukę. Po pierwszym zgłoszeniu OX Security Anthropic jedynie dodał ostrzeżenie do pliku SECURITY.md: „STDIO-adaptery należy używać ostrożnie”. Zdaniem badaczy nie rozwiązuje to problemu na poziomie architektury.
Zalecenia i aktualny stan
Do czasu wydania oficjalnego patcha OX Security zaleca:
- Nie wystawiać usług MCP publicznie;
- Ściśle walidować wszystkie przychodzące konfiguracje i polecenia;
- Uruchamiać procesy MCP w izolowanych środowiskach z minimalnymi uprawnieniami (np. za pomocą gVisor lub Firecracker).
Kilka projektów już wydało własne poprawki: LiteLLM, DocsGPT, Flowise i Bisheng. Jednak platformy takie jak LangFlow, Agent Zero i Fay Framework pozostają podatne. Anthropic nadal twierdzi, że zachowanie protokołu jest zgodne z zamierzeniem i nie planuje zmian.
Co ważne
- Luka w MCP umożliwia RCE poprzez niekontrolowane wykonywanie poleceń przy uruchamianiu lokalnych serwerów.
- Wszystkie oficjalne SDK Anthropic są dotknięte — problem jest systemowy, a nie lokalny.
- Anthropic odmówiła naprawy architektonicznej mimo ponad 30 rund responsible disclosure.
- Firma jednocześnie promuje AI jako narzędzie do wyszukiwania luk u innych, ignorując własne.
- Deweloperom zaleca się izolowanie procesów MCP i nieufność wobec zewnętrznych konfiguracji.
— Editorial Team
Brak komentarzy.