В последние годы искусственный интеллект стремительно развивается, а вместе с ним растет и количество используемых для его создания и интеграции инструментов. Одним из таких решений стала Model Context Protocol (MCP) от компании Anthropic, представленная в ноябре 2024 года. MCP стала важным открытым протоколом, стандартизирующим взаимодействие больших языковых моделей с внешними источниками данных и инструментами. Однако, несмотря на инновационность и популярность этой технологии, была выявлена серьезная уязвимость, которая может привести к опасным последствиям для безопасности разработчиков и их рабочих машин. В апреле 2025 года специалисты в области кибербезопасности обнаружили критическую брешь в проекте MCP Inspector — инструменте для разработки и отладки MCP-серверов.
Этот инструмент содержит две ключевые части: клиент для интерактивного тестирования и прокси-сервер, который служит мостом между веб-интерфейсом и различными MCP-серверами. Уязвимость, получившая обозначение CVE-2025-49596 и оцененную по шкале CVSS в 9.4 из 10, позволяет злоумышленникам выполнить произвольный код на машине разработчика, что фактически открывает полный доступ к хосту. Суть проблемы в том, что по умолчанию MCP Inspector запускается без должной аутентификации и шифрования. Это означает, что любой, имеющий доступ к локальной сети или интернету, может потенциально взаимодействовать с этим инструментом и использовать его для доступа к системным ресурсам.
Опасность возрастает из-за возможности эксплуатировать уязвимость браузера, известную как 0.0.0.0 Day, которая была зафиксирована более 19 лет назад. Эта недостаточность обработки IP-адреса 0.
0.0.0 в современных браузерах дает возможность вредоносным сайтам отправлять запросы на локальные службы, работающие на машине пользователя. Атака происходит в несколько этапов. Злоумышленник создает вредоносный веб-сайт, на котором размещается специальный JavaScript.
Как только разработчик посещает эту страницу, скрипт посылает запросы на IP-адрес 0.0.0.0, который указывает операционной системе обращаться ко всем сетевым интерфейсам устройства, включая локальный хост. Прокси MCP Inspector, работающий на стандартном порту 6277, принимает пакет вредоносных команд и выполняет их в системе, так как отсутствует проверка подлинности между клиентом и сервером.
Кроме того, методы DNS-ребайдинга позволяют злоумышленнику обходить стандартные механизмы безопасности, подменяя DNS-записи и перенаправляя трафик на локальные MCP-серверы. Последствия такой атаки могут быть катастрофическими. Злоумышленник получает возможность украсть конфиденциальные данные, установить вредоносное программное обеспечение, создать бекдоры для долгосрочного контроля и даже перемещаться по сети организации, что серьезно усложняет обнаружение и устранение угрозы. Специалисты подчеркивают, что MCP-сервисы, особенно в средах разработки и тестирования, часто работают с повышенными правами и доступом к критичным ресурсам, что делает их идеальными целями для атак. После публичного раскрытия уязвимости в апреле 2025 года разработчики Anthropic оперативно отреагировали, выпустив в июне того же года обновленную версию MCP Inspector — 0.
14.1, которая включает в себя обязательную авторизацию с использованием токенов сессии и проверку заголовков Host и Origin в HTTP-запросах. Эти меры значительно повышают безопасность, препятствуя атакам через DNS-ребайдинг и предотвращая осуществление CSRF-атак. Однако важной особенностью является тот факт, что MCP Inspector изначально позиционировался как справочная реализация протокола, а не как готовый продукт для промышленного использования. Несмотря на то что проект был открыт и активно форкался более 5 тысяч раз, его GitHub-репозиторий был архивирован в мае 2025 года, и дальнейшая поддержка и выпуск патчей не планируются.
Это значит, что разработчикам, использующим MCP в своих проектах, следует самостоятельно уделять особое внимание безопасности и обновлять инструменты своевременно. Помимо проблемы с удаленным выполнением кода, Trend Micro недавно выявила еще одну уязвимость в MCP-сервере SQLite — SQL-инъекцию, которая может позволить злоумышленникам не только украсть данные, но и подменить запросы и повлиять на работу AI-агентов. Эти агенты доверяют внутренней информации без дополнительной проверки, что создает риски внедрения вредоносных команд и дальнейшего распространения вреда. Аналитики из Backslash Security дополнительно обнаружили, что множество MCP-серверов имеют неправильные конфигурации: они запускаются с чрезмерными правами и открыты для любой машины из локальной сети, что получило название уязвимости NeighborJack. Такая ситуация особенно опасна в общественных местах, например, кафе или коворкингах, где любой находящийся поблизости человек может получить несанкционированный доступ и манипулировать процессами на вашей машине.
