Güvenlik araştırmacıları, yapay zeka modellerinin harici araçlara, veritabanlarına ve API'lere bağlanmasını sağlayan Anthropic'in Model Bağlam Protokolü'nde (MCP) ciddi bir mimari güvenlik açığı keşfetti. Bu açık, etkilenen sistemlerde uzaktan kod çalıştırmaya imkan tanıyor.
Açık, MCP'nin Python, TypeScript, Java ve Rust gibi platformlardaki resmi SDK'larını etkiliyor ve 150 milyondan fazla indirmeye ve yaklaşık 200.000 sunucuya yayılmış bir tedarik zincirini risk altına alıyor. İlginç bir şekilde, Anthropic'in bu duruma müdahale etmeyerek, araştırmacılara bu davranışın "beklenen" olduğunu belirttiği bildirildi.
MCP, yapay zeka modellerinin dış dünya ile etkileşimini kolaylaştırmak amacıyla geliştirilmiş açık kaynaklı bir standarttır. Geçtiğimiz yılın sonlarında Linux Vakfı'na bağlı Agentic AI Foundation'a bağışlanan protokol, OpenAI, Google ve birçok büyük yapay zeka aracı tarafından benimsenmiştir.
Güvenlik açığının temelinde, MCP'nin yerel süreçleri STDIO taşıma arayüzü üzerinden işlemesindeki bir kusur yatıyor. Kullanıcı tarafından kontrol edilebilen girdiler, filtrelenmeden doğrudan komut çalıştırmaya yol açabiliyor. Bu durum, MCP üzerine geliştirme yapan tüm geliştiricilerin varsayılan olarak bu riski devralmasına neden oluyor.
Araştırmacılar, bu açığın dört farklı şekilde istismar edilebileceğini belirledi: Yapay zeka çerçevelerinde kimlik doğrulaması gerektirmeyen kullanıcı arayüzü enjeksiyonu, Flowise gibi araçlarda olması gereken güvenlik önlemlerinin aşılması, Windsurf ve Cursor gibi yapay zeka kodlama IDE'lerinde sıfır tıklamayla komut enjeksiyonu ve MCP pazar yerleri üzerinden kötü amaçlı paket dağıtımı. Araştırmacılar, test yüklemeleriyle MCP kayıt defterlerinin büyük bir kısmını başarıyla etkilediklerini ve ödeme yapan müşterileri bulunan altı canlı üretim platformunda komut çalıştırmayı doğruladıklarını belirttiler.
Bu araştırmalar sonucunda yüksek veya kritik derecede puanlanmış en az 10 CVE (Ortak Güvenlik Açığı ve Maruz Kalma) tespit edildi. LiteLLM ve Bisheng gibi bazı araçlar için düzeltmeler yayınlanırken, sıfır tıklamayla yerel kod yürütmeye izin veren Windsurf'teki açık ve GPT Researcher, Agent Zero, LangChain-Chatchat ve DocsGPT gibi diğer araçlardaki kusurların hala "bildirilmiş" durumda olduğu belirtildi.
OX Security, Anthropic'e protokol düzeyinde bir düzeltme önerdiklerini, örneğin manifest yalnızca yürütme veya SDK'larda bir komut izin listesi gibi, bunun aşağı akış kullanıcılarını derhal koruyacağını ancak Anthropic'in bu önerileri reddettiğini ifade etti. Araştırmacıların raporlarını yayınlama niyetlerini bildirdiklerinde ise Anthropic'in itiraz etmediği kaydedildi.
Bu güvenlik açığı, Anthropic'in diğer kuruluşların yazılımlarındaki güvenlik açıklarını bulmak için bir araç olarak tanıttığı Claude Mythos modelini piyasaya sürmesinden sadece bir hafta sonra ortaya çıktı. Bu durum, OX araştırmacılarının dikkatinden kaçmadı ve bulguların, Anthropic'in kendi altyapısında da aynı güvenlik taahhüdünü göstermesi için bir "eylem çağrısı" olduğunu belirttiler.
Ayrıca, geçtiğimiz Mart ayının sonunda Claude Code'un kaynak kodunun bir npm paketi aracılığıyla yanlışlıkla sızdırılması ve ardından Anthropic'in dosyayı geri çekmesi gibi olaylar da bu durumu takip etti.
MCP şu anda Linux Vakfı'nın yönetimi altında olsa da, güvenlik açığının kaynağı olan referans SDK'ların bakımı hala Anthropic'in sorumluluğundadır. STDIO işlemesinin temelden değiştirilmediği sürece, proje yöneticilerinin kendi girdi sanitizasyonlarını uygulamaları gerekecektir.
