Исследователи OX Security обнаружили критическую дыру в архитектуре протокола MCP (Model Context Protocol). Ошибка затрагивает официальные SDK для Python, TypeScript, Java и Rust, ставя под угрозу 150 млн загрузок и 200 тыс. серверов.
Компания Anthropic, автор стандарта, считает такое поведение «ожидаемым» и отказывается от исправлений. Ранее OX Security предлагала ограничить выполнение запросов манифестом или списком команд, но получила отказ. Протокол MCP позволяет ИИ-моделям подключаться к внешним инструментам и API; в 2024 году стандарт передали Linux Foundation, где его используют OpenAI и Google.
Суть проблемы кроется в обработке интерфейса STDIO: запросы передаются без должной проверки. Разработчики автоматически наследуют эту уязвимость. Пока механизм не изменится, им придется самостоятельно фильтровать входные данные. В текущей ситуации Anthropic расследует неавторизованный доступ к модели Mythos и прошлую утечку кода Claude Code.
В ходе аудита найдено более десяти частных уязвимостей высокого и критического уровня. Статус закрыты CVE-2026-30623 в шлюзе LiteLLM и CVE-2026-33224 в платформе Bisheng. Уязвимость Windsurf (CVE-2026-30615), позволяющая локальное выполнение кода без участия пользователя, помечена как «сообщение получено». Аналогичный статус у проектов GPT Researcher, Agent Zero и других открытых решений.
Эксперты выделили четыре типа атак: внедрение вредоносного кода в интерфейс без авторизации, обход защиты на платформах вроде Flowise, выполнение команд в IDE (Windsurf, Cursor) без участия пользователя и распространение зловредных пакетов. Тестовая нагрузка успешно внедрилась в 9 из 11 реестров MCP, а команды удалось выполнить на шести коммерческих платформах.
Внедрение вредоносного кода без авторизации
Обход защиты на Flowise
Выполнение команд в IDE без участия пользователя
Распространение зловредных пакетов