Anthropic не стала чинить дыру в протоколе MCP — и это на фоне хвастовства, как Claude находит тысячи уязвимостей

Израильская команда OX Security опубликовала отчет о системной уязвимости в ядре протокола MCP от Anthropic: под угрозой до 200 000 серверов и SDK с 150 млн скачиваний. Выпущено больше 10 CVE высокой и критической серьезности, четыре разных семейства атак ведут к удаленному выполнению кода (RCE). С ноября 2025 года исследователи в рамках больше чем 30 раундов responsible disclosure просили Anthropic изменить архитектуру протокола. Компания отказалась, назвав поведение "ожидаемым".

На этом фоне Anthropic активно продвигает собственный ИИ как главного охотника за чужими уязвимостями. В феврале компания отчиталась, что модель Claude Opus 4.6 нашла больше 500 ранее неизвестных дыр в популярных open-source-библиотеках — баги, которые оставались незамеченными десятилетиями. В апреле запущен Project Glasswing с еще более мощной моделью Mythos, которая находит zero-day в FreeBSD, OpenBSD, FFmpeg, ядре Linux и во всех основных браузерах. Пока Anthropic помогает закрывать чужие уязвимости, дыру в собственном протоколе компания чинить отказалась.

Корень проблемы — в том, как MCP запускает локальные серверы. AI-приложение передает протоколу команду, которая должна поднять сервер-подпроцесс. Но на деле выполнится любая команда: если она действительно запустила сервер, вернется нормальный ответ, если нет — ошибка, но команда уже сработала. Это означает произвольное выполнение кода на машине. Изъян сидит во всех официальных SDK Anthropic — на Python, TypeScript, Java, C#, Go, Ruby, Swift, PHP и Rust, так что любой разработчик, строящий что-то на MCP, наследует его автоматически.

OX выделили четыре способа использовать эту дыру. Первый — напрямую через веб-интерфейс, без пароля и проверок: так ломаются все версии LangFlow от IBM и GPT