Исследователи из OX Security сообщили о серьезной архитектурной уязвимости в Model Context Protocol, открытом стандарте Anthropic для подключения ИИ-моделей к внешним инструментам, базам данных и API. По их оценке, проблема может привести к выполнению произвольного кода на уязвимых реализациях MCP, а под угрозой находятся сотни тысяч серверных инстанций и огромная цепочка зависимостей. Самое неприятное в этой истории даже не сама уязвимость, а реакция Anthropic. По словам исследователей, компания отказалась выпускать патч и заявила, что такое поведение их системы является ожидаемым. Что случилось OX Security описывает проблему как архитектурный дефект, который связан с тем, как MCP обрабатывает STDIO и пользовательский ввод в референсных SDK. Если данные из внешнего источника попадают в механизм запуска команд без достаточной проверки, это может открыть дорогу к удаленному выполнению кода на машине с уязвимой реализацией. Под ударом оказались официальные SDK на Python, TypeScript, Java и Rust. Исследователи также указывают, что уязвимость затрагивает не только отдельные серверы, но и всю цепочку ПО. По их оценке, речь идет о более чем 150 миллионах загрузок по зависимостям. Почему это опасно MCP уже стал важной частью AI-экосистемы. Протокол используют не только независимые разработчики, но и крупные игроки, включая OpenAI и Google, а это значит, что проблема в базовом механизме быстро масштабируется далеко за пределы одного проекта. Опасность здесь в том, что MCP-серверы часто получают доступ к очень чувствительным ресурсам: API-ключам, внутренним базам, рабочим чатам, репозиториям и другим инструментам, которыми управляют ИИ-агенты. Если атакующий получает возможность внедрить команды в этот контур, последствия могут быть очень серьезными. Почему Anthropic не исправила проблему По версии OX Security, исследователи предложили несколько простых мер на уровне протокола и SDK: запуск только из манифеста, белый список разрешенных команд и более жесткую санитизацию входных данных. Однако Anthropic, как утверждается в отчете, отказалась менять базовую архитектуру и не возразила против публикации результатов. Это особенно иронично на фоне того, что буквально незадолго до публикации Anthropic представила Claude Mythos с режимом поиска уязвимостей в чужом коде. OX Security прямо указала на это противоречие, фактически предложив компании применить к собственной инфраструктуре те же стандарты, которые она продает другим. Что теперь делать разработчикам Пока проблема не исправлена на уровне исходников, разработчикам придется защищаться самостоятельно. Минимальный набор мер - не передавать пользовательский ввод напрямую в команды запуска, ограничивать список допустимых действий, изолировать MCP-серверы и жестко контролировать права доступа. Для production-среды это не дополнительная опция, а базовая необходимость. Если MCP используется в рабочем окружении без защитных ограничений, риск превращается из теоретического в вполне практический. Что это значит для рынка История с MCP показывает, насколько уязвимыми могут быть новые AI-стандарты, если безопасность догоняет продукт уже после массового внедрения. Проблема здесь не только в конкретной уязвимости, а в том, что инфраструктура для ИИ-агентов всё чаще строится быстрее, чем успевает созреть модель защиты. Именно поэтому кейс MCP сейчас выглядит как сигнал тревоги для всей индустрии. Если протокол MCP становится базовым слоем для AI-интеграций, то его архитектура должна быть безопасной по умолчанию, а не достаточно безопасной при правильной настройке.