MCP с системным дефектом: исследователи заявили о риске захвата до 200 тыс. серверов

20.04.2026

Исследователи OX Security заявили о системной проблеме в архитектуре Model Context Protocol, созданного Anthropic для связи ИИ-приложений с внешними сервисами и инструментами. По их оценке, дефект затрагивает официальные MCP SDK для разных языков, может затронуть до 200 тыс. серверов и распространяется по цепочке зависимостей на пакеты с суммарно более чем 150 млн загрузок.

Корень проблемы связан с использованием STDIO как локального транспорта для запуска MCP-сервера в виде подпроцесса. По версии исследователей, на практике этот механизм позволяет выполнить произвольную системную команду: если команда поднимает STDIO-сервер, приложение получает хендл, если нет - возвращается ошибка, но сама команда уже успевает выполниться. Это открывает путь к удаленному выполнению кода и полному захвату системы.

OX выделяет четыре семейства атак. Первое - unauthenticated и authenticated command injection в публичных AI-фреймворках. Второе - обход защит через аргументы даже там, где разработчики разрешили только «безопасные» команды вроде python, npm и npx. Третье - prompt injection в AI-IDE и кодовых ассистентах, включая Windsurf, Cursor, Claude Code, Gemini-CLI и GitHub Copilot. Четвертое - отравление маркетплейсов MCP: исследователи утверждают, что смогли разместить тестовый вредоносный сервер в 9 из 11 таких каталогов.

По данным OX, в рамках этой серии исследований уже выпущено как минимум 10 high и critical CVE для отдельных проектов и агентов, использующих MCP. Исследователи настаивают, что проблему можно было ослабить на уровне самого протокола, но Anthropic, по их словам, отказалась менять архитектуру и назвала такое поведение ожидаемым.