Израильские специалисты из OX Security обнародовали отчет о масштабной уязвимости в ядре протокола MCP компании Anthropic. Проблема затрагивает около 200 000 серверов и SDK с более чем 150 миллионами загрузок. В общей сложности было выявлено свыше десяти CVE высокой и критической степени, а четыре типа атак позволяют злоумышленникам выполнять удаленный код (RCE). С ноября 2025 года исследователи неоднократно просили Anthropic изменить архитектуру протокола, однако компания отказалась, назвав это поведение «ожидаемым».
Anthropic в то же время продвигает собственные ИИ-модели, которые успешно находят уязвимости в сторонних open-source проектах. В феврале модель Claude Opus 4.6 обнаружила свыше 500 ранее неизвестных багов, а в апреле стартовал Project Glasswing с моделью Mythos, выявляющей zero-day уязвимости в FreeBSD, Linux и популярных браузерах. Несмотря на помощь в устранении чужих дыр, Anthropic не исправляет собственную уязвимость.
Суть проблемы — в том, как MCP запускает локальные серверы: приложение отправляет команду на запуск подпроцесса, но фактически выполняется любая команда без должной проверки. Это ведет к произвольному выполнению кода. Уязвимость присутствует во всех официальных SDK Anthropic на различных языках программирования, что делает её распространенной среди разработчиков.
OX Security выделили четыре способа эксплуатации: через веб-интерфейс без проверки, обход защит с помощью аргументов команд, через редакторы кода на базе ИИ и через каталоги MCP, где удалось загрузить вредоносные пакеты в большинство маркетплейсов. Anthropic лишь добавила предупреждение в документацию, не устранив проблему.
Исследователи советуют не выставлять MCP-сервисы в интернет и запускать их в изолированной среде с ограниченными правами. Некоторые проекты уже выпустили патчи, но Anthropic менять протокол не намерена. Публичный отчет по Project Glasswing ожидается только к середине 2026 года.
