Израильские исследователи из OX Security раскрыли системную уязвимость в ядре протокола MCP, разработанного компанией Anthropic. По оценкам, под угрозой находятся около 200 000 серверов и SDK с общим числом загрузок свыше 150 миллионов. Зафиксировано более 10 CVE высокой и критической степени опасности, причем четыре различных типа атак позволяют осуществить удалённое выполнение кода (RCE).
С ноября 2025 года эксперты неоднократно предлагали Anthropic изменить архитектуру протокола в ходе более 30 раундов ответственного раскрытия уязвимостей. Однако компания отказалась, охарактеризовав подобные риски как «ожидаемые».
В то время как Anthropic продвигает собственные ИИ-системы, способные находить уязвимости в популярных open-source проектах — их модели Claude Opus 4.6 и Mythos выявили сотни багов в FreeBSD, Linux и браузерах — исправлять собственный протокол компания не спешит.
Основная проблема заключается в механизме запуска локальных серверов через MCP: команда, передаваемая приложением, должна инициировать сервер-подпроцесс, но фактически выполняется любая команда. Это открывает возможность для произвольного выполнения кода на устройстве. Уязвимость имеет все официальные SDK Anthropic: Python, Java, TypeScript, C#, Go, Ruby, Swift, PHP и Rust, что делает ее масштабной.
Исследователи выделили четыре способа эксплуатации дыры: через веб-интерфейсы без аутентификации (например, LangFlow), обход защит с помощью рзрешённых команд и вредоносных аргументов (Upsonic, Flowise), через AI-редакторы кода (Cursor, Windsurf, GitHub Copilot) и через каталоги MCP, где удалось разместить вредоносные пакеты на большинстве маркетплейсов.
Anthropic после обращения исследователей внесла в SECURITY.md предупреждение об осторожном использовании STDIO-адаптеров, но это не решило проблему. Запросы журналистов остались без ответа. Авторы отчёта подчёркивают, что одно изменение протокола могло бы защитить всех пользователей и разработчиков.
До выпуска патча OX Security рекомендует не выставлять MCP-сервисы в интернет, не доверять входящим настройкам и запускать процессы в изолированной среде с ограниченными правами. Некоторые проекты уже выпустили исправления, но Anthropic продолжает игнорировать проблему и обещает публичный отчёт по Project Glasswing лишь к июлю 2026 года.