„Моделът е функция“: Критична уязвимост в MCP излага 200 000 сървъра на риск

Публикувано от Svetni.me Editorial на 2 май 2026 г.

Model Context Protocol (MCP), отвореният стандарт на Anthropic за комуникация между ИИ агенти и инструменти, е изправен пред фундаментална архитектурна критика. Изследователи от OX Security откриха уязвимост в стандартния STDIO транспорт, която позволява отдалечено изпълнение на код (RCE) на стотици хиляди сървъри [1].

Проблемът се корени в начина, по който MCP обработва команди чрез стандартния вход/изход (STDIO). По подразбиране протоколът изпълнява всяка операционна система команда, която получи, без санитаризация или проверка. Зловредна команда може да бъде изпълнена, като системата връща грешка едва след като действието вече е приключило.

Диаграма на уязвимостта в MCP STDIO
Изображение: Svetni.me / Авторско изображение

Функционалност или дефект?

Anthropic заема твърда позиция, че това поведение е „работещо по дизайн“. Според тяхната архитектурна логика, границата на доверие се намира при този, който контролира конфигурационния файл. Ако имате достъп за писане в конфигурацията на MCP, вие по дефиниция сте оторизиран да изпълнявате команди на машината.

Въпреки това, OX Security контрират, че прехвърлянето на отговорността към крайните разработчици не премахва риска, а само го маскира. Те са открили 7,000 изложени сървъра на публични IP адреси и оценяват, че общият брой на застрашените системи в световен мащаб достига 200,000.

Реакция на индустрията

Cloud Security Alliance (CSA) независимо потвърди откритията и препоръча на организациите да третират всяка MCP-свързана инфраструктура като активна заплаха. Популярни платформи като LiteLLM, DocsGPT и Flowise вече пуснаха корекции, но те решават само конкретните входни точки в техните продукти, без да променят фундаменталния дизайн на протокола.

Експертите по сигурността съветват администраторите да изолират MCP услугите в „пясъчници“ (sandboxes), да изключат автоматичната регистрация на сървъри и да одитират внимателно всички конфигурационни файлове (mcp.json).

Източници:

[1]: 200,000 MCP servers expose a command execution flaw that Anthropic calls a feature - VentureBeat