Lỗi 'Theo Thiết Kế' Trong Giao Thức MCP Của Anthropic Đe Dọa Chuỗi Cung Ứng AI Toàn Cầu

Model Context Protocol (MCP) - một tiêu chuẩn kết nối do Anthropic giới thiệu vào tháng 11 năm 2024 - đang trở thành công cụ phổ biến giúp các doanh nghiệp kết nối các tác nhân AI (agentic AI) với dữ liệu nội bộ. Tuy nhiên, một báo cáo mới đây từ OX Security đã hé lộ một lỗ hổng "theo thiết kế" nguy hiểm có thể biến giao thức này thành cửa ngõ cho các cuộc tấn công chuỗi cung ứng AI quy mô lớn.

Lỗ hổng bảo mật trong MCP

Vấn đề cốt lõi nằm ở kiến trúc của máy chủ MCP cục bộ sử dụng giao diện STDIO. Theo OX Security, giao diện này được thiết kế để khởi chạy quy trình máy chủ, nhưng nó thực thi lệnh bất kể việc khởi động quy trình đó có thành công hay không.

Điều này tạo ra một kẽ hở chết người: kẻ tấn công có thể truyền các lệnh độc hại vào hệ thống. Dù hệ thống có trả về thông báo lỗi, lệnh độc hại vẫn được thực thi âm thầm mà không có bất kỳ cảnh báo nào hay cơ chế kiểm duyệt (sanitization) nào trong chuỗi công cụ của nhà phát triển.

"Truyền một lệnh độc hại, nhận được lỗi - và lệnh vẫn chạy. Không có cảnh báo kiểm duyệt. Không có cờ đỏ nào trong chuỗi công cụ của nhà phát triển. Không có gì cả," - OX Security báo cáo.

Hậu quả của việc khai thác lỗ hổng này là cực kỳ nghiêm trọng. Kẻ tấn công có thể cài đặt phần mềm độc hại, dẫn đến việc chiếm quyền kiểm soát hoàn toàn hệ thống người dùng. Điều này mở ra nguy cơ đánh cắp dữ liệu nhạy cảm, khóa API, dữ liệu nội bộ của doanh nghiệp và lịch sử trò chuyện.

Đáng lo ngại hơn, khi OX Security thông báo phát hiện cho Anthropic và các nhà cung cấp máy chủ MCP khác, phản ứng chung mà họ nhận được là sự thụ động. Nhiều bên cho rằng hành vi này là "theo thiết kế" và không có hành động khắc phục triệt để nào được thực hiện. Anthropic sau đó chỉ âm thầm cập nhật hướng dẫn bảo mật, khuyến cáo người dùng nên sử dụng bộ điều hợp MCP "thận trọng", thay vì sửa đổi lỗi kiến trúc.

OX Security lập luận rằng việc chuyển trách nhiệm bảo mật hoàn toàn cho các nhà phát triển downstream là một thất bại về cấu trúc. Với hàng triệu người dùng và hàng nghìn hệ thống đang sử dụng MCP, lỗ hổng này có thể khởi động "cuộc tấn công chuỗi cung ứng mẹ của mọi cuộc tấn công", lan rộng từ Anthropic đến hàng ngàn người dùng MCP cục bộ và từ đó đến các hệ thống khác.

Trong báo cáo của mình, OX Security đề xuất Anthropic nên giải quyết vấn đề bằng cách loại bỏ các kết nối STDIO chưa được làm sạch, giới thiệu tính năng sandboxing ở cấp giao thức, và yêu cầu người dùng phải đồng ý rõ ràng (opt-in) khi sử dụng các "chế độ nguy hiểm".

Trong thời gian chờ đợi một bản sửa lỗi chính thức từ phía Anthropic, các công ty đang sử dụng STDIO MCP trong phát triển AI tác nhân cần thực hiện các biện pháp phòng thủ bổ sung và tuân thủ nghiêm ngặt các khuyến cáo an ninh để tránh trở thành nạn nhân của các cuộc tấn công này.