Powrót do strony głównej

Ujawnienie MCP od Anthropic: RCE i podwójne standardy

Analiza krytycznej luki w protokole MCP od Anthropic, umożliwiającej zdalne wykonywanie kodu. Firma odmówiła naprawy, mimo responsible disclosure, kontynuując promowanie AI jako narzędzia do wyszukiwania cudzych luk.

Anthropic ignoruje RCE w swoim protokole MCP — oto jak to działa
Advertisement 728x90

# Luka w protokole MCP od Anthropic: dlaczego firma ignoruje RCE w swoim stosie

Badacze z OX Security odkryli krytyczną lukę w protokole Model Context Protocol (MCP) od Anthropic, umożliwiającą zdalne wykonanie kodu (RCE) za pośrednictwem lokalnych serwerów. Mimo ponad 30 rund responsible disclosure od listopada 2025 roku, Anthropic odmówiła wprowadzenia zmian architektonicznych, określając to zachowanie jako „oczekiwane”. Jednocześnie firma aktywnie promuje swoje modele AI jako narzędzia do wyszukiwania luk w projektach stron trzecich.

Architektoniczna wada w podstawie MCP

Protokół MCP służy do interakcji między agentami AI a zewnętrznymi narzędziami poprzez uruchamianie lokalnych podprocesów. Problem pojawia się podczas przetwarzania poleceń: zamiast ścisłej walidacji ścieżki wykonywalnej protokół akceptuje dowolny ciąg znaków jako polecenie. Jeśli polecenie kończy się sukcesem i otwiera port, system uznaje je za poprawne. Jeśli nie — zwracany jest błąd, ale samo polecenie już zostało wykonane. Prowadzi to do dowolnego wykonywania kodu na maszynie hostującej bez dodatkowych sprawdzeń.

Luka dotyczy wszystkich oficjalnych SDK Anthropic — Python, TypeScript, Java, C#, Go, Ruby, Swift, PHP i Rust. Każdy deweloper korzystający z MCP automatycznie dziedziczy to zagrożenie. Według szacunków OX Security pod ryzykiem znajduje się nawet 200 000 serwerów i ekosystem z ponad 150 mln pobrań SDK.

Google AdInline article slot

Cztery wektory ataku

Zespół OX wyróżnił cztery główne sposoby wykorzystania luki:

  • Bezpośredni dostęp przez interfejs webowy — brak uwierzytelniania i filtrowania pozwala na wykonanie dowolnego polecenia za pośrednictwem interfejsów LangFlow (IBM) i GPT Researcher.
  • Ominięcie białych list — nawet jeśli dozwolone są tylko bezpieczne narzędzia (np. npx), napastnik może wstrzyknąć złośliwy kod przez argumenty polecenia. Podatne są Upsonic i Flowise.
  • Edytory kodu oparte na AI — narzędzia takie jak Cursor, Windsurf, Claude Code, Gemini-CLI i GitHub Copilot mogą automatycznie stosować konfiguracje zawierające exploity. CVE wydano tylko dla Windsurf; pozostali dostawcy, w tym Google i Microsoft, odmówili uznania problemu.
  • Złośliwe pakiety w katalogach MCP — badacze przesłali pakiety z exploitami do 9 z 11 publicznych marketplace'ów. Tylko managed registry od GitHub odrzucił zgłoszenie.

Podwójne standardy w bezpieczeństwie

Anthropic aktywnie pozycjonuje swój model Claude Opus 4.6 jako lidera w wykrywaniu luk: według danych firmy znalazł ponad 500 wcześniej nieznanych błędów w popularnych bibliotekach open-source. W kwietniu 2026 roku uruchomiono Project Glasswing z jeszcze potężniejszym modelem Mythos, który wykrywa zero-day w jądrze Linux, FreeBSD, OpenBSD, FFmpeg i głównych przeglądarkach.

Jednak w świetle tych deklaracji firma ignoruje własną krytyczną lukę. Po pierwszym zgłoszeniu OX Security Anthropic jedynie dodał ostrzeżenie do pliku SECURITY.md: „STDIO-adaptery należy używać ostrożnie”. Zdaniem badaczy nie rozwiązuje to problemu na poziomie architektury.

Google AdInline article slot

Zalecenia i aktualny stan

Do czasu wydania oficjalnego patcha OX Security zaleca:

  • Nie wystawiać usług MCP publicznie;
  • Ściśle walidować wszystkie przychodzące konfiguracje i polecenia;
  • Uruchamiać procesy MCP w izolowanych środowiskach z minimalnymi uprawnieniami (np. za pomocą gVisor lub Firecracker).

Kilka projektów już wydało własne poprawki: LiteLLM, DocsGPT, Flowise i Bisheng. Jednak platformy takie jak LangFlow, Agent Zero i Fay Framework pozostają podatne. Anthropic nadal twierdzi, że zachowanie protokołu jest zgodne z zamierzeniem i nie planuje zmian.

Co ważne

  • Luka w MCP umożliwia RCE poprzez niekontrolowane wykonywanie poleceń przy uruchamianiu lokalnych serwerów.
  • Wszystkie oficjalne SDK Anthropic są dotknięte — problem jest systemowy, a nie lokalny.
  • Anthropic odmówiła naprawy architektonicznej mimo ponad 30 rund responsible disclosure.
  • Firma jednocześnie promuje AI jako narzędzie do wyszukiwania luk u innych, ignorując własne.
  • Deweloperom zaleca się izolowanie procesów MCP i nieufność wobec zewnętrznych konfiguracji.

— Editorial Team

Google AdInline article slot
Advertisement 728x90

Czytaj dalej