Anthropic отказалась чинить дыру в протоколе MCP — и это на фоне хвастовства, как Claude находит тысячи уязвимостей
Anthropic refused чинить критическую уязвимость в своём протоколе MCP, несмотря на предупреждения исследователей из израильской команды OX Security. В report подробно описана системная дыра, угрожающая до 200 000 серверов и SDK с 150 млн загрузок. Более 10 CVE высокого и критического уровня уже опубликованы, а четыре семейства атак позволяют злоумышленникам выполнять код удалённо. С ноября 2025 года специалисты OX неоднократно просили Anthropic изменить архитектуру — компания посчитала поведение expected , а не ошибкой.
На этом фоне особенно резко выглядит позиция Anthropic как главного охотника за уязвимостями. В феврале компания announced , что её модель Claude Opus 4.6 нашла более 500 неизвестных ранее багов в популярных open-source библиотеках. А в апреле стартовал Project Glasswing с моделью Mythos, которая ищет zero-day в FreeBSD, OpenBSD, FFmpeg, ядре Linux и основных браузерах. Пока Claude помогает fix чужие уязвимости, собственный протокол остаётся открытым для атак.
Суть проблемы — в запуске локальных серверов через MCP. Приложение передаёт команду на поднятие сервера, но на деле выполняется любая команда вне зависимости от результата. Это открывает путь к произвольному выполнению кода. Уязвимость присутствует во всех официальных SDK — Python, TypeScript, Java, C#, Go, Ruby, Swift, PHP и Rust. Любой разработчик, использующий MCP, автоматически inherits эту дыру.
OX Security выявили четыре вектора атаки. Первый — через веб-интерфейс без авторизации: так можно сломать LangFlow от IBM и GPT Researcher. Второй — обход фильтров через аргументы команд вроде npx: уязвимы Upsonic и Flowise. Третий — AI-редакторы кода вроде Cursor, Windsurf, Claude Code и Gemini-CLI: большинство компаний, включая Google и Microsoft, refused признавать это уязвимостью, ссылаясь на согласие пользователя. Четвёртый — вредоносные пакеты в каталогах MCP: исследователи успешно разместили их в 9 из 11 маркетплейсов.
Через неделю после обращения Anthropic тихо обновила документ SECURITY.md, добавив предупреждение: STDIO-адаптеры стоит использовать с осторожностью. По оценке OX, это ничего не починило. Компания не ответила на запросы The Register. Авторы исследования подчеркнули: одно изменение на уровне протокола защитило бы всех разработчиков и пользователей. Anthropic публичный отчёт по Glasswing пообещала только к июлю 2026 года, а decision не исправлять MCP остаётся в силе.
То есть они продают ИИ как инструмент безопасности, но в своём стеке игнорируют критическую дыру? risk Риск очевиден, а решение — нет.
Если SDK inherits наследует уязвимость по умолчанию — это не ошибка, это архитектурный кошмар. Кто вообще так проектирует?
«Ожидаемое поведение» — лучшая отмазка для тех, кто не хочет нести responsibility ответственность. Классика.
А ведь Claude реально находит крутые баги. Ирония в том, что он мог бы найти и эту дыру — но компания просто ignored проигнорировала вывод.
Жду, когда кто-нибудь влепит им по impact воздействию через MCP в продакшене. Тогда, может, начнут чинить.
Почему никто не удивлён? Всё больше компаний продают security безопасность как продукт, но сами живут на свалке уязвимостей.