Một lỗ hổng thực thi mã từ xa (RCE) ở cấp độ thiết kế nghiêm trọng đã được xác định trong Giao thức Ngữ cảnh Mô hình (MCP), một giao thức mở được sử dụng rộng rãi cho các tác nhân AI, theo OX Security. Lỗi này, ảnh hưởng đến hành vi mặc định của SDK chính thức của Anthropic, cho phép kẻ tấn công thực thi các lệnh tùy ý trên các hệ thống sử dụng các triển khai MCP dễ bị tấn công, có khả năng làm lộ dữ liệu người dùng và cơ sở dữ liệu nội bộ. Lỗ hổng này ảnh hưởng đến nhiều ngôn ngữ lập trình, bao gồm Python, TypeScript, Java và Rust.
OX Security nhấn mạnh rằng lỗ hổng phát sinh từ phương thức truyền STDIO, cho phép giao tiếp giữa các tiến trình cục bộ. Tham số StdioServerParameters trong SDK chính thức có thể tạo ra các tiến trình con sử dụng các tham số lệnh từ cấu hình, khiến các đầu vào người dùng không được kiểm duyệt có thể thực thi được. Mặc dù mức độ nghiêm trọng, Anthropic đã từ chối thay đổi giao thức, khẳng định rằng mô hình thực thi STDIO là một thiết kế mặc định an toàn. Trong khi một số nhà cung cấp đã phát hành bản vá, vấn đề cốt lõi vẫn chưa được giải quyết, khiến các dịch vụ MCP có nguy cơ bị khai thác.
Lỗ hổng giao thức MCP khiến hệ thống AI dễ bị tấn công RCE
Tuyên bố miễn trừ trách nhiệm: Nội dung được cung cấp trên Phemex News chỉ nhằm mục đích cung cấp thông tin.Chúng tôi không đảm bảo chất lượng, độ chính xác hoặc tính đầy đủ của thông tin có nguồn từ các bài viết của bên thứ ba.Nội dung trên trang này không cấu thành lời khuyên về tài chính hoặc đầu tư.Chúng tôi đặc biệt khuyến khích bạn tự tiến hành nghiên cứu và tham khảo ý kiến của cố vấn tài chính đủ tiêu chuẩn trước khi đưa ra bất kỳ quyết định đầu tư nào.