Nhà nghiên cứu cảnh báo lỗ hổng trong giao thức MCP của Anthropic đe dọa 200.000 máy chủ

Nhà nghiên cứu cảnh báo lỗ hổng trong giao thức MCP của Anthropic đe dọa 200.000 máy chủ

Một lỗ hổng thiết kế – hoặc hành vi được mong đợi dựa trên một lựa chọn thiết kế tồi tệ, tùy thuộc vào việc bạn hỏi ai – được tích hợp sâu trong giao thức Model Context Protocol (MCP) chính thức của Anthropic đang đặt khoảng 200.000 máy chủ vào nguy cơ bị chiếm quyền kiểm soát hoàn toàn, theo các nhà nghiên cứu bảo mật.

Đội ngũ nghiên cứu Ox cho biết họ đã "nhiều lần" yêu cầu Anthropic vá lỗi gốc rễ này, nhưng liên tục nhận được câu trả lời rằng giao thức hoạt động hoàn toàn tốt, bất chấp việc đã có 10 lỗ hổng (tính đến thời điểm hiện tại) mức độ cao và nghiêm trọng (CVE) được phát hành cho các công cụ mã nguồn mở và tác nhân AI sử dụng MCP. Một bản vá gốc, theo Ox, có thể đã giảm thiểu rủi ro trên các gói phần mềm với tổng số lượt tải xuống hơn 150 triệu và bảo vệ hàng triệu người dùng cuối.

Anthropic "từ chối sửa đổi kiến trúc của giao thức, với lý do hành vi này là 'đáng mong đợi'", các nhà nghiên cứu Ox Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok và Roni Bar cho biết trong một bài blog về nghiên cứu của họ, nghiên cứu này bắt đầu từ tháng 11 năm 2025 và bao gồm hơn 30 quy trình công bố trách nhiệm.

Lỗi hay Tính năng?

Một tuần sau báo cáo ban đầu của họ cho Anthropic, nhà cung cấp AI này đã âm thầm phát hành một chính sách bảo mật được cập nhật – dường như là một mô hình khi đối mặt với các lỗi AI. Hướng dẫn cập nhật nói rằng các bộ chuyển đổi MCP, cụ thể là loại STDIO, nên được sử dụng thận trọng. "Thay đổi này không sửa chữa điều gì cả," nhóm nghiên cứu bổ sung.

Anthropic đã không phản hồi các yêu cầu bình luận về câu chuyện này.

Theo các thám tử bảo mật, vấn đề gốc rễ nằm ở MCP, một giao thức mã nguồn mở ban đầu được phát triển bởi Anthropic mà các mô hình ngôn ngữ lớn (LLM), ứng dụng AI và tác nhân sử dụng để kết nối với dữ liệu bên ngoài, hệ thống và lẫn nhau. Nó hoạt động trên nhiều ngôn ngữ lập trình – điều này có nghĩa là bất kỳ nhà phát triển nào sử dụng bộ phát triển phần mềm (SDK) MCP chính thức của Anthropic trên bất kỳ ngôn ngữ được hỗ trợ nào, bao gồm Python, TypeScript, Java và Rust, đều kế thừa lỗ hổng này.

Cơ chế hoạt động của lỗ hổng

MCP sử dụng STDIO (đầu vào/đầu ra chuẩn) làm cơ chế vận chuyển cục bộ để một ứng dụng AI tạo ra một máy chủ MCP dưới dạng một quy trình con. "Nhưng trên thực tế, nó thực sự cho phép bất kỳ ai chạy bất kỳ lệnh hệ điều hành nào tùy ý; nếu lệnh tạo thành công một máy chủ STDIO, nó sẽ trả về bộ điều khiển, nhưng khi đưa ra một lệnh khác, nó trả về lỗi sau khi lệnh được thực thi," các nhà nghiên cứu Ox viết.

Lạm dụng logic này có thể dẫn đến bốn loại lỗ hổng khác nhau.

Tất cả đường đều dẫn đến RCE

Loại lỗ hổng đầu tiên, tiêm lệnh đã xác thực và chưa xác thực, cho phép kẻ tấn công nhập các lệnh do người dùng kiểm soát sẽ chạy trực tiếp trên máy chủ mà không cần xác thực hoặc khử trùng. Điều này có thể dẫn đến sự xâm phạm hoàn toàn hệ thống, và bất kỳ khung AI nào có giao diện người dùng công khai đều bị tổn thương.

Các dự án dễ bị tổn thương bao gồm tất cả các phiên bản của LangFlow, khung mã nguồn mở low-code của IBM để xây dựng các ứng dụng và tác nhân AI. Các nhà nghiên cứu cho biết họ đã disclosing vấn đề này cho LangFlow vào ngày 11 tháng 1 và chưa có CVE nào được phát hành.

Nó cũng ảnh hưởng đến GPT Researcher, một tác nhân AI mã nguồn mở được thiết kế cho nghiên cứu sâu, và mặc dù chưa có bản vá, lỗ hổng này đã có trình theo dõi CVE (CVE-2025-65720).

Vượt qua các biện pháp bảo vệ

Vector tấn công thứ hai, tiêm lệnh chưa xác thực với khả năng vượt qua bảo vệ, cho phép những kẻ xấu vượt qua các biện pháp bảo vệ và khử trùng đầu vào của người dùng được thực hiện bởi các nhà phát triển để chạy các lệnh trực tiếp trên máy chủ.

Cả Upsonic (CVE-2026-30625) và Flowise (GHSA-c9gw-hvqq-f33r) đều đã tăng cường bảo mật chống lại tiêm lệnh bằng cách chỉ cho phép một số lệnh nhất định chạy, chẳng hạn như "python", "npm" và "npx". Về lý thuyết, điều này sẽ làm cho việc gửi trực tiếp lệnh thông qua tham số "command" trở nên bất khả thi.

Tuy nhiên? "Chúng tôi đã có thể vượt qua hành vi này bằng cách gián tiếp tiêm lệnh thông qua các đối số của lệnh được phép, ví dụ như -'npx -c ,'", nhóm Ox viết.

Tiêm lệnh Prompt Zero-click

Loại lỗ hổng thứ ba cho phép tiêm lệnh nhắc (prompt injection) không cần tương tác (zero-click) trên các môi trường phát triển tích hợp AI (IDE) và trợ lý lập trình như Windsurf, Claude Code, Cursor, Gemini-CLI và GitHub Copilot.

Tuy nhiên, CVE duy nhất được phát hành để giải quyết lớp lỗ hổng này là dành cho Windsurf (CVE-2026-30615). Đây cũng là lỗ hổng zero-click thực sự duy nhất trong đó lời nhắc của người dùng ảnh hưởng trực tiếp đến cấu hình JSON của MCP mà không cần sự tương tác của người dùng.

Tất cả các IDE và nhà cung cấp khác – bao gồm Google, Microsoft và Anthropic – đều nói rằng đây là một vấn đề đã biết, hoặc không phải là một lỗ hổng bảo mật hợp lệ vì nó yêu cầu sự cho phép rõ ràng của người dùng để sửa đổi tệp.

Độc hại trên Marketplace

Cuối cùng, họ lỗ hổng thứ tư có thể được thực hiện thông qua các thị trường MCP, và các thợ săn mối đe dọa nói rằng họ đã "đầu độc thành công" chín trong số mười một thị trường này – nhưng sử dụng một khái niệm MCP chạy một lệnh tạo ra một tệp trống, không phải phần mềm độc hại.

"Các thị trường chấp nhận bài gửi của chúng tôi bao gồm các nền tảng với hàng trăm nghìn lượt truy cập hàng tháng," cửa hàng bảo mật viết. "Một mục MCP độc hại duy nhất trong bất kỳ thư mục nào trong số này có thể được cài đặt bởi hàng nghìn nhà phát triển trước khi được phát hiện – mỗi lần cài đặt đều cho kẻ tấn công thực thi lệnh tùy ý trên máy của nhà phát triển."

Ox lập luận rằng Anthropic có khả năng và trách nhiệm "làm cho MCP an toàn theo mặc định".

"Một thay đổi kiến trúc ở cấp độ giao thức sẽ đã bảo vệ mọi dự án hạ nguồn, mọi nhà phát triển và mọi người dùng cuối dựa vào MCP ngày nay," các nhà nghiên cứu viết. "Đó mới là ý nghĩa của việc sở hữu toàn bộ stack."