В сфере искусственного интеллекта назревает кризис безопасности, способный затронуть сотни тысяч систем по всему миру. Исследователи компании OX Security обнаружили критическую, системную уязвимость, встроенную непосредственно в архитектуру Model Context Protocol (MCP) от Anthropic. Этот протокол является отраслевым стандартом для коммуникации между ИИ-агентами, что делает обнаруженный фундаментальный недостаток особенно опасным. Проблема позволяет злоумышленникам выполнять произвольные команды на атакованных системах (Remote Code Execution), что эквивалентно получению полного контроля над ними.
Детали уязвимостей
Основная угроза заключается в том, что уязвимость является следствием проектного решения, заложенного в архитектуру протокола, а не простой ошибки кода. Это означает, что она затрагивает все официальные SDK (комплекты средств разработки) MCP для поддерживаемых языков программирования: Python, Rust, Java и TypeScript. Таким образом, разработчики, строящие свои продукты на этой основе, неосознанно наследуют серьёзный риск. Масштаб потенциального воздействия колоссален: по оценкам экспертов, под угрозой оказывается программная цепочка поставок с более чем 150 миллионами загрузок, 7000 публично доступных серверов и до 200 000 уязвимых экземпляров по всему миру.
Эксплуатация этой фундаментальной слабости открывает злоумышленникам несколько путей для атаки:
- Возможна атака с использованием неавторизованной инъекции в пользовательский интерфейс популярных ИИ-фреймворков.
- Реализуется так называемая "атака с нулевым кликом" через инъекцию в промпты (подсказки) в ведущих интегрированных средах разработки для ИИ, таких как Windsurf и Cursor.
- Угроза может распространяться через отравление маркетплейсов вредоносными пакетами. Кроме того, злоумышленники могут обходить меры усиленной безопасности в защищённых средах, например, в Flowise, для выполнения удалённых команд. Все эти векторы в конечном итоге ведут к выполнению произвольного кода на целевой системе.
Системный характер изъяна уже привёл к присвоению как минимум десяти идентификаторов уязвимостей общего вида (CVE) для крупных ИИ-продуктов. Критические уязвимости, связанные с неавторизованной инъекцией в интерфейс и ведущие к выполнению произвольного кода, были зафиксированы в продуктах GPT Researcher (CVE-2025-65720), Agent Zero (CVE-2026-30624), Fay Framework (CVE-2026-30618), Langchain-Chatchat (CVE-2026-30617) и Jaaz (CVE-2026-33224). К счастью, критические уязвимости, требующие авторизации, уже были устранены в LiteLLM (CVE-2026-30623) и Bisheng (CVE-2026-33224). Среди других значимых инцидентов - критическая инъекция с нулевым кликом в Windsurf (CVE-2026-30615), устранённая уязвимость подмены типа транспорта в DocsGPT (CVE-2026-26015) и опасный обход списка разрешённых ресурсов в Upsonic (CVE-2026-30625).
Ответ компании Anthropic, однако, вызвал серьёзную озабоченность у экспертов по безопасности. Несмотря на широкомасштабный риск и более 30 ответственных уведомлений от OX Security, разработчик протокола отказался вносить изменения в его архитектуру. В компании заявили, что текущее поведение является "ожидаемым". Хотя отдельные проекты активно выпускают обновления для своих инструментов, коренная архитектурная причина уязвимости остаётся неустранённой на уровне самого протокола. Эта позиция перекладывает основное бремя защиты на конечных пользователей и организации, внедряющие решения на базе MCP.
В сложившейся ситуации организациям, использующим сервисы с поддержкой MCP, необходимо немедленно принять меры для защиты своей инфраструктуры. Прежде всего, следует заблокировать публичный доступ по IP-адресам к чувствительным сервисам, оставляя инструменты для исследований и ИИ-решения вне публичного интернета. Все внешние входные данные для конфигурации MCP должны рассматриваться как полностью недоверенные, чтобы предотвратить выполнение несанкционированных команд. Установку серверов следует производить исключительно из официальных каталогов MCP, что позволит избежать установки вредоносных пакетов и атак на основе опечаток в названиях (typosquatting). Все сервисы с включённым MCP критически важно запускать внутри изолированной песочницы, ограничивая полный доступ к диску и правам баз данных. Кроме того, необходимо внимательно отслеживать вызовы инструментов для выявления неожиданной фоновой активности или попыток утечки данных. Наконец, требуется немедленно обновить все затронутые сервисы или, если обновление недоступно, отключить возможность предоставления пользовательского ввода до выхода надёжного исправления. Игнорирование этих рекомендаций может привести к компрометации внутренних баз данных, утечке конфиденциальной пользовательской информации, истории чатов и ключей API, что несёт прямые репутационные и финансовые риски для бизнеса.
