Уязвимость Anthropic: снова на волоске от катастрофы
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Эксперты в области безопасности обнаружили новое тревожное уязвимое место в системах искусственного интеллекта компании Anthropic. Проект Anthropic Model Context Protocol (MCP) Inspector заставил понервничать своих создателей, так как в нём была найдено уязвимость критической степени, которая могла позволить злоумышленникам проводить атаки с удалённым выполнением кода (RCE) на целевых устройствах, предупредили эксперты.
Компания Anthropic, наиболее известная своей моделью диалогового ИИ Claude, разработала MCP — открытый стандарт, который облегчает безопасное двустороннее взаимодействие между системами ИИ и внешними источниками данных. Также был создан Inspector — отдельный инструмент с открытым исходным кодом для тестирования и отладки серверов MCP. Однако, как выяснили аналитики, недочёт в Inspector мог быть использован для кражи конфиденциальных данных, установки вредоносного ПО и перемещения по целевым сетям.
Впервые уязвимость в экосистеме MCP Anthropic была отслежена под номером CVE-2025-49596, и ей присвоен высокий уровень серьезности 9.4 из 10. "Это одно из первых критических уязвимостей RCE в экосистеме MCP Anthropic, открывающее новую категорию атак на инструменты разработки ИИ," — объяснил Ави Лумельский из Oligo Security.
С учетом уязвимости, злоумышленники могут украсть данные, установить скрытые программы и перемещаться по сетям, что подчеркивает серьезные риски для команд ИИ, проектов с открытым исходным кодом и предприятий, полагающихся на MCP. Чтобы использовать этот недочёт, злоумышленники должны объединить его с уязвимостью "0.0.0.0. День", которая существует уже два десятка лет в веб-браузерах и позволяет вредоносным сайтам нарушать локальные сети.
Создав злонамеренный сайт и отправив запрос к локальным службам, работающим на сервере MCP, атакующие могли выполнять произвольные команды на машине разработчика. В апреле этого года Anthropic сообщили об уязвимости и выпустили исправление 13 июня, обновив инструмент до версии 0.14.1. Теперь в прокси-сервер добавлен токен сессии и проверка происхождения, что делает атаки невозможными.
Специалисты по безопасности, внезапно разбуженные в ночи содержимым своих тревожных снов, обнаружили фатальную уязвимость в системах искусственного интеллекта компании Anthropic. Внимание: теперь «умные» системы могут стать площадкой для удалённого выполнения кода. И нет, это не особый маркетинговый ход — это, похоже, режим работы Anthropic Model Context Protocol (MCP) Inspector.
Напомню, что такое MCP? Это словно мода на помадные нюансы — все сейчас этим увлечены, вот и Anthropic тоже пошло в ногу со временем, создавая открытый стандарт для безопасного взаимодействия своих моделей с данными. Однако, как выяснили аналитики, забыла компания при этом, что в заборе бывают дырки — недочёт в Inspector натягивает на себя весь этот антураж уязвимости, будто застройщик не заметил, что окно не закрыл.
Уязвимость, званная CVE-2025-49596, открывает целую коробку Пандоры — злоумышленники смогут не только вынимать данные, как с мешка с овощами на рынке, но и устанавливать нежелательное ПО. Возможно, они даже устроят «вечеринку» по перемещениям по сетям. И всё для чего? Чтобы потом, всем назло, заняться легитимными делами, такими как отладка и тестирование. Удобно, не правда ли?
Но не все так просто. Для того чтобы воспользоваться этой уязвимостью, злоумышленникам-оппортунистам нужно соединить её с давно известной уязвимостью «0.0.0.0. День». Эта классика жанра в веб-браузерах ведёт себя, как рок-звезда — она здесь уже два десятка лет и всё никак не уходит. И как ни странно, разработчики Anthropic, похоже, не прочитали ни одной статьи о сетевой безопасности, поскольку в этой истории есть острая деталь: злоумышленники могут послать запрос к локальным службам на сервере MCP и выполнять команды на машине разработчика. Кому нужен хакер, если у нас есть такая возможность взять рис в открытую?
В ответ на все возгласы о помощи, Anthropic, как добрый волшебник, выпустили патч в июне, добавив токен сессии и проверку происхождения в прокси-сервер. Вероятно, это просто совпадение, что исправление последовало сразу за объявлением о высоком уровне серьёзности уязвимости. Многообещающее шоу, так сказать! Кажется, мы видим, кто в этом спектакле в самом центре действия...
Таким образом, вместо того чтобы зафиксировать всю эту стойкую уязвимость, мы наблюдаем традиционное «потушение пожара», в то время как весь дом стоит на газу. Не оставляйте свои данные на обочине!