Grave vulnerabilità di remote code execution scoperta nel Model Context Protocol di Anthropic
Un difetto nei principali SDK di MCP espone fino a 200.000 server AI a rischi di sicurezza lungo tutta la supply chain.
Una vulnerabilità architetturale critica è stata individuata da OX Security nel Model Context Protocol (MCP) di Anthropic, abilitando potenzialmente l'esecuzione remota di codice su ogni sistema che utilizza implementazioni affette. Il problema coinvolge gli SDK ufficiali MCP per Python, TypeScript, Java e Rust, interessando una filiera di oltre 150 milioni di download e fino a 200.000 istanze server.
La causa risiede nella gestione dell'esecuzione di processi locali tramite l'interfaccia STDIO del protocollo, dove input controllati dall'utente possono essere trasmessi direttamente all'esecuzione di comandi senza adeguata sanitizzazione. Questa scelta progettuale viene ereditata da ogni sviluppatore che adotta MCP.
OX Security ha identificato diverse modalità di attacco: dall'injection non autenticata nelle UI di framework AI, al bypass delle misure di hardening in strumenti come Flowise, fino alla distribuzione di pacchetti malevoli nei marketplace MCP. Test reali hanno confermato l'effettiva esecuzione di comandi su piattaforme produttive operative.
La scoperta ha portato al rilascio di almeno 10 CVE ad alta criticità, tra cui LiteLLM (CVE-2026-30623) e Bisheng (CVE-2026-33224), già corretti. Tuttavia, Anthropic ha scelto di non correggere il protocollo, suggerendo che il comportamento fosse "previsto".
Finché la gestione STDIO non verrà rivista, gli sviluppatori dovranno gestire autonomamente la sanitizzazione degli input per mitigare i rischi.
