MCP Anthropic: уязвимость дизайна даёт RCE и грозит цепочке поставок ИИ

Коллеги, хочу обратить внимание из сферы кибербезопасности: обнаружена критическая «по дизайну» уязвимость в протоколе MCP Anthropic.
OX Security показала, что небезопасные STDIO‑по умолчанию в официальном SDK позволяют RCE во всех поддерживаемых языках (Python, TypeScript, Java, Rust). Затронуты тысячи публичных серверов и проекты — LangChain, LiteLLM, Flowise и др.; выявлены многочисленные CVE. Anthropic отказался менять архитектуру, поэтому риск наследуется по цепочке поставок.
Рекомендации: блокировать публичный доступ, запускать MCP в песочнице, считать внешние конфигурации недоверенными и мониторить вызовы MCP.
Почему это важно: одно архитектурное решение может создать массовую точку входа для атак.
Что Вы планируете изменить в интеграции MCP?
#кибербезопасность #ИИ #supplychain #безопасность


Последние комментарии
Комментариев пока нет.