V známém protokolu umělé inteligence byla zjištěna kritická zranitelnost a společnost Anthropic uvedla, že se jí nebudou zabývat.

Kybernetická hrozba v protokolu MCP: jak to vypadá a co je potřeba udělat

Jak se projevuje
Původ zranitelnosti
Výzkumníci OX Security objevili architektonickou chybu v Model Context Protocol (MCP).
Zasažené SDK
Oficiální knihovny pro Python, TypeScript, Java a Rust.
Objem rizika
Více než 150 milionů stažení a až 200 tisíc serverových instancí používá tyto SDK.
Odpověď Anthropic
Společnost uvedla, že protokol „chová se očekávaně“ a změny nejsou potřeba.

Co je MCP?
- Otevřený standard představený Anthropic v roce 2024.
- Umožňuje AI modelům připojovat se k externím nástrojům, databázím a API.
- V loňském roce byl protokol předán Agentic AI Foundation při Linux Foundation; nyní ho používají OpenAI, Google a většina AI nástrojů.

Jak funguje zranitelnost
1. STDIO‑rozhraní
- Požadavky se posílají přímo do bodu vykonání příkazů bez další kontroly.
2. Přenos rizika
- Každý vývojář, který používá MCP, automaticky získává tuto slabost.

Možné cesty exploatace (4 rodiny)
Číslo | Typ útoku | Co dělá útočník
1 | Vložení kódu do UI bez autorizace | Píše škodlivý kód, který se spustí automaticky.
2 | Obcházení ochrany na „chráněných“ platformách (Flowise) | Využívá zranitelnost k obcházení vestavěných bezpečnostních mechanismů.
3 | Škodlivé požadavky v IDE prostředích (Windsurf, Cursor) | Spouští příkazy bez účasti uživatele.
4 | Rozšiřování škodlivých balíků přes MCP | Publikuje zlověstný kód, který se automaticky načítá ostatními uživateli.

- Testování: výzkumníci úspěšně vložili payload do 9 z 11 registrů MCP a prokázali možnost vykonání příkazů na šesti komerčních platformách.

Další nalezené zranitelnosti
Aplikace | CVE | Stav
LiteLLM | CVE‑2026‑30623 | Uzavřeno
Bisheng | CVE‑2026‑33224 | Uzavřeno
Windsurf | CVE‑2026‑30615 „Zpráva přijata“ (lokální vykonání kódu) | GPT Researcher, Agent Zero, LangChain‑Chatchat, DocsGPT – stejný stav

Jak reaguje Anthropic
- Doporučení OX Security:
- Omežit požadavky pouze z manifestu.
- Zavést seznam povolených příkazů v SDK.
- Odpověď společnosti: odmítnutí změn a absence námitků proti zveřejnění zranitelnosti.

Co se nyní děje
Událost | Aktuální stav
Únik modelu Mythos | Anthropic provádí interní vyšetřování.
Výstup kódu Claude Code | Předtím došlo k úniku zdrojového kódu služby.
Správa MCP | Přenesena do Linux Foundation, ale Anthropic stále podporuje SDK se zranitelností.

Co by měli vývojáři dělat
- Dokud nebude STDIO‑rozhraní změněno, je nutné samostatně implementovat filtrování vstupních dat.
- Kontrolujte verze SDK a aktualizujte je na nejnovější opravy, pokud jsou k dispozici.
- Zvažte zavedení vlastních mechanismů kontroly příkazů a omezení na úrovni aplikace.

Shrnutí:

Zranitelnost v MCP představuje vážnou hrozbu pro miliony uživatelů. Přestože Anthropic odmítá změny protokolu, vývojáři by měli přijmout opatření k ochraně svých systémů až do oficiálních oprav.