- Ox-Forscher warnen, dass das Model Context Protocol von Anthropic einen systemischen RCE-Fehler aufweist
- In MCP-SDKs in Python, TypeScript, Java und Rust eingebaute Sicherheitslücke
- Über 200.000 Instanzen offengelegt; Anthropic sagt, Verhalten sei „erwartet“
Sicherheitsforscher Ox haben behauptet Das Model Context Protocol (MCP) von Anthropic enthält eine „kritische, systemische Schwachstelle“, die Hunderttausende Instanzen dem Risiko einer Remote Code Execution (RCE) aussetzt.
Anthropic hingegen sagte angeblich, das System funktioniere wie vorgesehen.
MCP ist ein Standard, der es ermöglicht KI-Tools Sichere Verbindung zu externen Datenquellen und Apps. Es ist ein wichtiger Bestandteil jedes Modells, denn ohne es kann es sich nur auf die Daten verlassen, auf denen es trainiert wurde. Der Standard wird sowohl von KI-Unternehmen als auch von Entwicklern, die KI-Tools entwickeln, verwendet und findet sich sowohl in OpenAI- und DeepMind-Produkten als auch in Anthropics eigenen Claude-Apps wieder.
Der Artikel wird weiter unten fortgesetzt
Millionen sind betroffen
In ihren Ergebnissen sagten die Ox-Forscher Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok und Roni Bar, dass es sich bei dem, was sie in MCP fanden, nicht um einen „traditionellen Codierungsfehler“ handelte, sondern um eine „architektonische Designentscheidung, die in die offiziellen MCP-SDKs von Anthropic für alle unterstützten Programmiersprachen integriert ist, einschließlich Python, TypeScript, Java und Rust“.
„Jeder Entwickler, der auf der Anthropic MCP-Grundlage aufbaut, erbt unwissentlich dieses Risiko“, warnten sie.
Ox sagte, der Fehler könne auf unterschiedliche Weise ausgelöst werden, von der nicht authentifizierten UI-Injektion bis hin zur Härtung von Umgehungen in „geschützten Umgebungen“; und von der Zero-Click-Prompt-Injection in führende KI-IDEs bis hin zu bösartige Marktplatzverteilungen.
Sie geben an, erfolgreich Befehle auf sechs Live-Produktionsplattformen ausgeführt und kritische Schwachstellen in „Branchengrößen wie LiteLLM, LangChain und IBMs LangFlow“ identifiziert zu haben.
Die Forscher sagten, dass mittlerweile mehr als 7.000 öffentlich zugängliche Server und bis zu 200.000 Instanzen angreifbar seien. Bisher haben sie 10 CVEs herausgegeben und dabei geholfen, die Fehler zu beheben. „Die Grundursache bleibt jedoch auf Protokollebene unberücksichtigt.“
Ox sagte auch, dass man sich an Anthropic gewandt und Root-Patches empfohlen habe, woraufhin das Unternehmen sagte, das Verhalten des MCP sei „erwartet“.
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten.
