Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Маркет
Подписка ChatGPT
Темы
AI
Сервисы
Маркетинг
Личный опыт
Деньги
Инвестиции
Путешествия
Крипто
Образование
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения

Мы используем
рекомендации.

Илья Утов - Ilya Utov
AI

Anthropic не будет чинить уязвимость в своём MCP SDK. Вот что делать компаниям, которые уже построили на нём AI-агентов

Это не история о баге. Это история о том, как AI-платформы расставляют приоритеты — и кто в итоге несёт ответственность за безопасность вашей инфраструктуры.

В середине апреля исследователи OX Security опубликовали детальный разбор уязвимости в официальном Model Context Protocol SDK от Anthropic. STDIO interface — основной механизм взаимодействия MCP-агентов с инструментами — позволяет выполнять произвольные команды операционной системы через переданную конфигурацию.

Это Remote Code Execution. RCE.

Уязвимость затрагивает все языковые реализации SDK без исключений: Python, TypeScript, Java, Rust. Масштаб: 7,000+ публично доступных серверов, суммарно 150 миллионов загрузок пакетов. Под угрозой: LiteLLM, LangChain, LangFlow, Flowise, LettaAI, Cursor. CVE присвоены регулятором: CVE-2025-49596, CVE-2026-22252, CVE-2026-22688. (Источники: The Register Tier 2, OX Security Research Tier 2, 16-20 апреля 2026.)

Anthropic изучила отчёт. Ответила: «поведение ожидаемое, архитектуру протокола менять не планируем».

Не «мы разбираемся». Не «патч выйдет через неделю». «Так и должно работать».

Почему это важно даже если вы не используете MCP напрямую

MCP — фундамент большинства AI-агентных решений, запущенных за последний год. 97 миллионов инсталляций по состоянию на март 2026. Claude, Cursor, LangChain, практически любой enterprise AI-продукт последнего года использует или предполагает MCP-совместимость.

Если ваша команда запускала AI-агентов — вероятность, что где-то в стеке есть MCP, высока. Возможно, не напрямую, а через зависимость.

И теперь ответственность за безопасность этой части инфраструктуры: на вас, не на Anthropic.

Что именно уязвимо

Технически: STDIO interface в MCP SDK не валидирует переданную конфигурацию перед исполнением. Атакующий, который может передать конфигурацию в MCP-сервер, получает возможность выполнить произвольную команду на хосте.

Важная деталь: даже если команда возвращает ошибку — исполнение уже произошло. Классическая защита «ошибка = безопасно» здесь не работает.

Кто в зоне риска

Очевидная первая категория: публично экспонированные MCP-серверы.

Но не единственная. Внутренние сервисы с доступом из корпоративной сети при наличии уязвимостей в смежной инфраструктуре. Shared-окружения, где несколько команд используют общий MCP-деплой. Разработческие среды с открытыми портами — типичная история для быстрых MVP.

По масштабу: данные расходятся. The Register называет 200K уязвимых инсталляций, Hacker News — 7,000 публично доступных серверов. Вероятнее всего: 200K — общее число инсталляций, 7,000 — публично экспонированные. Для практики: проверяйте оба сценария в своей инфраструктуре.

Что делать

1. Инвентаризация. Где у вас MCP? Включая транзитивные зависимости. Если используете LangChain, LiteLLM, Flowise — проверьте их версии и конфигурации. Часто зависимость появляется не напрямую, а через несколько слоёв.

2. Изоляция публичного доступа. MCP-серверы не должны быть доступны без аутентификации. Никакого открытого порта напрямую в интернет. Reverse proxy с auth, VPN, сетевые группы — что угодно между MCP-сервером и публичной сетью.

3. Следите за downstream-проектами. Anthropic не фиксит на уровне SDK. Но команды LangChain, Flowise, Cursor могут выпустить свои workarounds или дополнительные слои валидации. Подпишитесь на их changelog.

4. Логи STDIO-вызовов. Без видимости в то, что передаётся в STDIO, нет способа обнаружить эксплуатацию. Логирование — минимальный baseline для любого production AI-деплоя.

5. Пересмотрите threat model. Если MCP-сервер имеет доступ к базам данных, файловой системе или другим сервисам — blast radius при эксплуатации значительно шире самого агента.

Более широкий вывод

Anthropic сделала выбор: скорость разработки и обратная совместимость важнее переработки архитектуры. Это право вендора, и у него есть своя логика.

Для компаний, которые строят на этом стеке, это означает одно: security due diligence — ваша зона ответственности. Это справедливо для любой open-source или open-protocol инфраструктуры. MCP просто сделал это явным и конкретным.

Кто уже проводил аудит своего AI-агентного стека? Что нашли?

Больше разборов AI для бизнеса - в Telegram: t.me/gorilla_under_hood

Факт-чекинг

✅ 7,000+ публично доступных серверов под угрозой OX Security Research через Hacker News, Tier 2 https://thehackernews.com/2026/04/anthropic-mcp-design-vulnerability.html

⚠ 200K уязвимых инсталляций The Register, Tier 2 - более широкая оценка, вероятно включает все инсталляции, не только публичные https://www.theregister.com/2026/04/16/anthropic_mcp_design_flaw/

✅ 150M+ загрузок затронутых пакетов OX Security Research, Tier 2 - суммарно по LangChain, LiteLLM, Flowise и другим

✅ CVE-2025-49596, CVE-2026-22252, CVE-2026-22688 NVD, Tier 1 - присвоены регулятором nvd.nist.gov

✅ Anthropic: «поведение ожидаемое, менять не будем» Подтверждено в The Register, Hacker News, OX Security, Tier 2

✅ 97M инсталляций MCP к марту 2026 Данные из сводки AI Index 2026 и отраслевых источников, Tier 2

Главный риск: данные по масштабу расходятся между источниками (7K vs 200K).

3
2 комментария