Современные технологии искусственного интеллекта стремительно развиваются, открывая новые горизонты возможностей и совершенствуя взаимодействие между приложениями и языковыми моделями. Протокол Model Context Protocol (MCP) от компании Anthropic выступает ключевым стандартом для безопасного обмена контекстом между ИИ-инструментами и источниками данных. Но на фоне популярности и растущей интеграции этих систем возникает критическая проблема — уязвимости, которые активно эксплуатируются злоумышленниками, ставя под угрозу безопасность разработчиков и компании в целом. Одна из самых резонансных уязвимостей затронула MCP Inspector — инструмент, предназначенный для тестирования и отладки MCP-серверов. Этот инструмент играет важную роль в процессе разработки, обеспечивая управление соединениями MCP Proxy и клиентским интерфейсом.
Критическая пробоина в безопасности была обнаружена в версиях MCP Inspector до 0.14.1 и получила индекс CVE-2025-49596, отличаясь высокой степенью опасности с рейтингом CVSS 9.4. Фундаментальная проблема заключается в том, что MCP Inspector до вышеназванной версии не требовал аутентификации между клиентом и сервером.
Это означало, что любой, получивший доступ к открытому порту инструмента, мог выполнять произвольные команды от имени разработчика. Такая ситуация приводит к возможности удаленного выполнения кода (RCE), что открывает широчайшие возможности для злоумышленников — от кражи конфиденциальных данных и внедрения вредоносного ПО до полного контроля над системой жертвы. Эксплуатация уязвимости происходит зачастую через браузерные атаки с использованием DNS-rebinding и обходом политики Same-Origin. Злоумышленники создают вредоносные сайты, которые обращаются к локальным сервисам MCP Inspector у пользователя, не требуя его ведома или согласия. В результате малейшей неосторожности и запуска страницы с таким кодом, разработчик может незаметно открыть злоумышленнику дверь в свою систему, что напоминает ситуацию с оставленной нараспашку дверью с табличкой «Заходи кто хочешь».
Последствия атак мгновенно становятся критическими. Помимо выполнения произвольных команд, возможна утечка важнейших материалов: исходного кода проектов, ключей API, учетных данных и другой чувствительной информации. Вредоносное ПО может быть установлено незаметно для пользователя, что ведет к долговременному подрыву безопасности и потенциальному распространению вредоносного воздействия на всю корпоративную сеть. Подобные инциденты наносят огромный урон как техническим активам, так и деловой репутации компаний. Для противодействия подобным угрозам Anthropic выпустила обновленные версии MCP Inspector, устраняющие уязвимости и вводящие обязательную аутентификацию.
Разработчикам рекомендуется незамедлительно обновлять инструмент до версии 0.14.1 и выше, а также внедрять комплексные меры защиты. Важную роль играет ограничение сетевого доступа к портам 6274 и 6277, которые должны быть доступны только локально, чтобы исключить внешний доступ. Настройка корпоративных и локальных фаерволов, использование VPN при работе с удалёнными серверами и внимательное обращение с внешними ссылками и файлами также являются основополагающими шагами в построении надежной инфраструктуры безопасности.
Наряду с уязвимостью MCP Inspector нельзя не отметить появление новых, не менее опасных уязвимостей в компонентах Filesystem MCP Server, которые отвечают за выполнение файловых операций ИИ-приложений. Исследователи Cymulate Research Labs выявили две критические уязвимости, получившие коды CVE-2025-53109 и CVE-2025-53110. Первая уязвимость связана с обходом проверки доступа к директориям: из-за простой проверки пути злоумышленник может получить несанкционированный доступ к файлам за пределами разрешенной песочницы. Вторая уязвимость строится на использовании символьных ссылок (симлинков), что позволяет выводить атаку на новый уровень — обход ограничений на файловом уровне и выполнение вредоносных команд с возможностью повышения привилегий. Угрозы не ограничиваются техническими дырами в коде.
Архитектура MCP, обеспечивающая обмен командами и данными между LLM-приложениями и внешними инструментами, влечёт за собой уникальные векторы атак. Отравление контекста посредством внедрения вредоносных инструкций в описание инструмента — классический пример социально-технической уязвимости в экосистеме, где доверие к данным становится главным слабым звеном. Злоумышленник может внедрить скрытые команды в метаданные, например, заголовок веб-страницы, заставляя языковые модели выполнять действия, которые могут привести к утечке ключевой информации, вплоть до приватных ключей SSH или секретных токенов. В подобных атаках комбинируется обработка естественного языка с эксплуатацией технических слабостей, что требует от специалистов безопасности и разработчиков новых подходов. Переосмысление стратегии фильтрации входных данных, внедрение надежной аутентификации, мониторинг и аудит активности — меры, без которых невозможно обеспечить адекватную защиту в современном ландшафте киберугроз.
Защита решений, построенных на MCP, должна стать приоритетом для разработчиков ИИ-инструментов и компаний, работающих с языковыми моделями. Операционные системы, используемые для разработки — будь то Windows, Linux или Android — требуют регулярных обновлений и контролируемой настройки безопасности. Аппаратные компоненты и конфигурации серверов должны подвергаться строгому аудиту. Особое внимание следует уделить принципам минимизации прав и изоляции процессов, чтобы исключить распространение угроз внутри инфраструктуры. Изобретательность злоумышленников постоянно растёт, уровни сложности атак повышаются, что требует от сообщества практиков и производителей ПО повышения стандартов безопасности и обмена информацией об угрозах.
![Lego Mindstorms Bridge Layer [video]](/images/80D1B698-7E56-484B-B4C4-CD24D34ABA55)
