OX Security'ye göre, yapay zeka ajanları için yaygın olarak kullanılan açık protokol Model Context Protocol (MCP) içinde kritik tasarım düzeyinde bir uzaktan kod yürütme (RCE) güvenlik açığı tespit edildi. Anthropic'in resmi SDK'sının varsayılan davranışını etkileyen bu hata, saldırganların savunmasız MCP uygulamalarını kullanan sistemlerde rastgele komutlar çalıştırmasına olanak tanıyarak kullanıcı verileri ve dahili veritabanlarının tehlikeye girmesine yol açabilir. Bu güvenlik açığı Python, TypeScript, Java ve Rust gibi birden fazla programlama dilini etkiliyor.
OX Security, güvenlik açığının yerel süreç iletişimini sağlayan STDIO taşıma yönteminden kaynaklandığını vurguladı. Resmi SDK'nın StdioServerParameters bileşeni, yapılandırmalardan gelen komut parametrelerini kullanarak alt süreçler oluşturabiliyor ve bu da temizlenmemiş kullanıcı girdilerinin çalıştırılabilir hale gelmesine neden oluyor. Ciddiyetine rağmen, Anthropic protokolü değiştirmeyi reddetti ve STDIO yürütme modelinin güvenli bir varsayılan tasarım olduğunu savundu. Bazı satıcılar yamalar yayınlamış olsa da, temel sorun çözülmemiş durumda ve MCP hizmetleri istismara açık kalmaya devam ediyor.
MCP Protokol Açığı, Yapay Zeka Sistemlerini RCE Saldırılarına Maruz Bırakıyor
Sorumluluk Reddi: Phemex Haberler'de sunulan içerik yalnızca bilgilendirme amaçlıdır. Üçüncü taraf makalelerden alınan bilgilerin kalitesi, doğruluğu veya eksiksizliğini garanti etmiyoruz. Bu sayfadaki içerik finansal veya yatırım tavsiyesi niteliği taşımaz. Yatırım kararları vermeden önce kendi araştırmanızı yapmanızı ve nitelikli bir finans danışmanına başvurmanızı şiddetle tavsiye ederiz.