MCP-Protokoll von Design-Level-RCE-Vulnerabilität getroffen; Anthropic lehnt Architekturänderungen ab

Gate News-Mitteilung, 21. April — Das Sicherheitsunternehmen OX Security hat eine Design-Level-Sicherheitslücke zur Remote-Code-Ausführung (RCE) in MCP (Model Context Protocol) offengelegt, dem offenen Standard für KI-Agenten, um externe Tools aufzurufen, der von Anthropic geleitet wird. Angreifer können beliebige Befehle auf jedem System ausführen, auf dem eine anfällige MCP-Implementierung läuft, und erhalten Zugriff auf Benutzerdaten, interne Datenbanken, API-Keys und Chatverläufe.

Der Fehler rührt nicht von Implementierungsproblemen her, sondern von einem Standardverhalten im offiziellen SDK von Anthropic bei der Verarbeitung des STDIO-Transports — betroffen sind die Versionen für Python, TypeScript, Java und Rust. Die StdioServerParameters im offiziellen SDK starten Subprozesse direkt anhand der Konfigurations-Befehlsparameter; ohne zusätzliche Eingabesäuberung durch Entwickler wird jede Benutzereingabe, die an dieser Stelle ankommt, zu einem Systembefehl. OX Security hat vier Angriffsszenarien identifiziert: direkte Command-Injection über Konfigurationsschnittstellen, das Umgehen der Säuberung mit freigegebenen Befehlsflags (z. B. npx -c ), Prompt-Injection in IDEs, um MCP-Konfigurationsdateien für Tools wie Windsurf so umzuschreiben, dass bösartige STDIO-Dienste ohne Benutzerinteraktion ausgeführt werden, und das Einspeisen von STDIO-Konfigurationen über HTTP-Anfragen in MCP-Marktplätzen.

Laut OX Security wurden die betroffenen Pakete über 150 Millionen Mal heruntergeladen, und es sind 7.000+ öffentlich zugängliche MCP-Server im Umlauf, die bis zu 200.000 Instanzen über 200+ Open-Source-Projekte hinweg offenlegen. Das Team reichte 30+ verantwortungsvolle Meldungen ein, was zu 10+ hochriskanten oder kritischen CVEs führte, die KI-Frameworks und IDEs abdecken, darunter LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero und DocsGPT; 9 von 11 getesteten MCP-Paket-Repositorys konnten mit dieser Technik kompromittiert werden.

Anthropic antwortete, dass dies „by design“ sei, bezeichnete das Ausführungsmodell von STDIO als „secure default design“ und verlegte die Verantwortung für die Eingabesäuberung auf Entwickler, indem es sich weigerte, das Protokoll oder das offizielle SDK zu ändern. Während DocsGPT und LettaAI Patches veröffentlicht haben, bleibt die Referenzimplementierung von Anthropic unverändert. Da MCP zum de-facto-Standard für KI-Agenten geworden ist, die auf externe Tools zugreifen — gefolgt von OpenAI, Google und Microsoft — könnte jeder MCP-Dienst, der den standardmäßigen STDIO-Ansatz des offiziellen SDK verwendet, zu einem Angriffsszenario werden, selbst wenn Entwickler fehlerfreien Code schreiben.