Что произошло
OX Security раскрыла широко распространённую уязвимость безопасности MCP (Model Context Protocol):
- Масштаб: Около 200 000 серверов MCP подвержены риску выполнения команд
- Причина: Транспортная модель STDIO протокола MCP является слепой зоной безопасности по дизайну — атакующий контролирует ввод командной строки, агент выполняет его напрямую, без какой-либо очистки входных данных
- Серьёзность: CVE-2026-30617 (CVSS 8.6), CVE-2026-30615 (CVSS 8.0)
- Известные затронутые: LangChain-ChatChat, Windsurf и другие основные инструменты
Что ещё более тревожно: OX Security отправила PoC-пакеты с уязвимостью в 11 реестров MCP, и 9 приняли их без какой-либо проверки безопасности.
Технические детали
Как работает транспортный режим STDIO в MCP:
Запрос пользователя → MCP Клиент → STDIO → MCP Сервер → Выполнение команды ОС → Возврат результатаПроблема кроется в звене STDIO: MCP Сервер получает инструкции от Клиента и выполняет их напрямую как команды ОС — без изоляции в песочнице, без фильтрации параметров, без контроля прав доступа. Атакующему достаточно создать вредоносный пакет MCP Server, чтобы выполнить произвольные команды на машине жертвы.
Оценка воздействия
| Параметр | Оценка |
|---|---|
| Порог атаки | Низкий — достаточно убедить пользователя установить вредоносный MCP Server |
| Масштаб воздействия | Чрезвычайно высокий — 200 000 серверов, включая Claude Desktop/Cursor/Windsurf |
| Сложность исправления | Средняя — требуются изменения как на уровне протокола MCP, так и на уровне реализации Server |
| Текущее смягчение | Ручной аудит установленных MCP Server, отключение пакетов из неизвестных источников |
Реакция индустрии
- Команда LangChain: Выпустила экстренные патчи, рекомендует пользователям обновиться до последней версии
- Windsurf: Опубликовала рекомендацию по безопасности, советует корпоративным пользователям приостановить использование сторонних MCP Server
- Anthropic: В интерфейсе управления MCP Claude Desktop добавлены функции контроля прав доступа
Советы для разработчиков и предприятий
- Действуйте немедленно: Проведите аудит всех конфигураций
mcp.jsonв ваших проектах, удалите серверы из неизвестных источников - Изменение архитектуры: Рассмотрите переход с режима STDIO на SSE/HTTP — последний поддерживает более детальный контроль прав доступа
- Корпоративная политика: Создайте систему белых списков внутренних MCP Server, запретите сотрудникам самостоятельно устанавливать сторонние инструменты
- Долгосрочное решение: Следите за развитием стандартов безопасности протокола MCP, ожидайте официальные патчи
Оценка ситуации
Эта уязвимость обнажает фундаментальное противоречие в экосистеме инструментов AI Agent: удобство и безопасность не могут быть максимизированы одновременно. Дизайн STDIO в MCP был задуман для того, чтобы разработчики могли максимально быстро интегрировать цепочки инструментов, но цена безопасности огромна.
По мере того как AI Agent перемещаются из инструментов разработчиков в производственные среды предприятий, подобные инциденты безопасности будут только множиться. Руководство по безопасности AI Agent, совместно опубликованное CISA и альянсом Five Eyes, как раз подтверждает эту тенденцию.