Uma vulnerabilidade crítica de execução remota de código (RCE) em nível de design foi identificada no Protocolo de Contexto de Modelo (MCP), um protocolo aberto amplamente adotado para agentes de IA, segundo a OX Security. A falha, que afeta o comportamento padrão do SDK oficial da Anthropic, permite que atacantes executem comandos arbitrários em sistemas que utilizam implementações vulneráveis do MCP, potencialmente comprometendo dados de usuários e bancos de dados internos. A vulnerabilidade impacta várias linguagens de programação, incluindo Python, TypeScript, Java e Rust.
A OX Security destacou que a vulnerabilidade surge do método de transporte STDIO, que permite a comunicação entre processos locais. Os StdioServerParameters do SDK oficial podem gerar processos filhos usando parâmetros de comando das configurações, tornando executáveis entradas de usuário não sanitizadas. Apesar da gravidade, a Anthropic recusou-se a alterar o protocolo, mantendo que o modelo de execução STDIO é um design padrão seguro. Embora alguns fornecedores tenham emitido correções, o problema central permanece sem solução, deixando os serviços MCP em risco de exploração.
Vulnerabilidade no Protocolo MCP Expõe Sistemas de IA a Ataques RCE
Aviso Legal: O conteúdo disponibilizado no Phemex News é apenas para fins informativos. Não garantimos a qualidade, precisão ou integridade das informações provenientes de artigos de terceiros. Este conteúdo não constitui aconselhamento financeiro ou de investimento. Recomendamos fortemente que você realize suas próprias pesquisas e consulte um consultor financeiro qualificado antes de tomar decisões de investimento.