Уязвимость CVE-2025-49596 в инструменте MCP Inspector от Anthropic получила критический балл CVSS 9.4. Она позволяет удаленное выполнение кода (RCE) на машинах разработчиков. Злоумышленник получает полный контроль: кража данных, установка бэкдоров, перемещение по сетям. Ави Лумельски из Oligo Security подтверждает: это первая критическая RCE в экосистеме MCP, открывающая новый класс браузерных атак против ИИ-инструментов.
Протокол MCP (Model Context Protocol), представленный Anthropic в ноябре 2024 года, стандартизирует интеграцию внешних данных в LLM-приложения. MCP Inspector — инструмент для тестирования MCP-серверов, состоящий из клиентского интерфейса и прокси-сервера. По данным Oligo Security, прокси по умолчанию не имеет аутентификации и шифрования, создавая «значительную» поверхность атаки. Лумельски предупреждает: любой с доступом к сети может эксплуатировать такие серверы.
Атака объединяет две уязвимости: «0.0.0.0 Day» (19-летняя проблема браузеров с обработкой IP 0.0.0.0) и CSRF в MCP Inspector. RCE срабатывает при посещении разработчиком вредоносного сайта. Как указано в бюллетене MCP Inspector: «Версии ниже 0.14.1 уязвимы из-за отсутствия аутентификации между клиентом и прокси, позволяя неавторизованным запросам запускать команды MCP».
Злоумышленники используют SSE-эндпоинт для отправки запроса с поддельной страницы на 0.0.0.0:6277 (порт прокси по умолчанию). Лумельски поясняет: «0.0.0.0 привязывается ко всем IP-адресам, включая localhost». Техника DNS Rebinding обходит защиту, подменяя DNS-записи на 127.0.0.1:6277.
Патч версии 0.14.1, выпущенный 20 июня 2025 года, добавляет токен сессии и проверку заголовков Origin/Host. Oligo Security заявляет: «Это блокирует DNS Rebinding и CSRF-атаки». Однако проект MCP Inspector архивирован на GitHub с 29 мая 2025 года как «референсная реализация, не для продакшена». Несмотря на это, он форкнут более 5000 раз, и новые патчи не планируются.
Риски шире: Backslash Security выявил угрозу «NeighborJack» — атаки через локальные сети в коворкингах. Шон Парк из Trend Micro обнаружил неисправленную SQL-инъекцию в SQLite MCP сервере Anthropic: «Если мы допустим вчерашние ошибки веб-приложений в агентской инфраструктуре, злоумышленники получат путь от SQL-инъекции к полному захвату агента».
MCP по дизайну открывает каналы для инъекций промптов. Мика Голд из Backslash Security критикует сканирование всего текста на угрозы: «Это раздувает инструменты». Вместо этого рекомендуется настраивать «ИИ-правила» в клиентах MCP, обучая агентов скептически оценивать контекст.
Изображение носит иллюстративный характер
Протокол MCP (Model Context Protocol), представленный Anthropic в ноябре 2024 года, стандартизирует интеграцию внешних данных в LLM-приложения. MCP Inspector — инструмент для тестирования MCP-серверов, состоящий из клиентского интерфейса и прокси-сервера. По данным Oligo Security, прокси по умолчанию не имеет аутентификации и шифрования, создавая «значительную» поверхность атаки. Лумельски предупреждает: любой с доступом к сети может эксплуатировать такие серверы.
Атака объединяет две уязвимости: «0.0.0.0 Day» (19-летняя проблема браузеров с обработкой IP 0.0.0.0) и CSRF в MCP Inspector. RCE срабатывает при посещении разработчиком вредоносного сайта. Как указано в бюллетене MCP Inspector: «Версии ниже 0.14.1 уязвимы из-за отсутствия аутентификации между клиентом и прокси, позволяя неавторизованным запросам запускать команды MCP».
Злоумышленники используют SSE-эндпоинт для отправки запроса с поддельной страницы на 0.0.0.0:6277 (порт прокси по умолчанию). Лумельски поясняет: «0.0.0.0 привязывается ко всем IP-адресам, включая localhost». Техника DNS Rebinding обходит защиту, подменяя DNS-записи на 127.0.0.1:6277.
Патч версии 0.14.1, выпущенный 20 июня 2025 года, добавляет токен сессии и проверку заголовков Origin/Host. Oligo Security заявляет: «Это блокирует DNS Rebinding и CSRF-атаки». Однако проект MCP Inspector архивирован на GitHub с 29 мая 2025 года как «референсная реализация, не для продакшена». Несмотря на это, он форкнут более 5000 раз, и новые патчи не планируются.
Риски шире: Backslash Security выявил угрозу «NeighborJack» — атаки через локальные сети в коворкингах. Шон Парк из Trend Micro обнаружил неисправленную SQL-инъекцию в SQLite MCP сервере Anthropic: «Если мы допустим вчерашние ошибки веб-приложений в агентской инфраструктуре, злоумышленники получат путь от SQL-инъекции к полному захвату агента».
MCP по дизайну открывает каналы для инъекций промптов. Мика Голд из Backslash Security критикует сканирование всего текста на угрозы: «Это раздувает инструменты». Вместо этого рекомендуется настраивать «ИИ-правила» в клиентах MCP, обучая агентов скептически оценивать контекст.
