Protocole MCP Touché par une Vulnérabilité de RCE au Niveau de la Conception ; Anthropic Refuse des Changements d’Architecture

Message de Gate News, 21 avril — La société de sécurité OX Security a révélé une vulnérabilité d’exécution de code à distance au niveau de la conception (RCE) dans MCP (Model Context Protocol), la norme ouverte permettant aux agents IA d’invoquer des outils externes, chapeautée par Anthropic. Les attaquants peuvent exécuter des commandes arbitraires sur tout système exécutant une implémentation MCP vulnérable, obtenant l’accès aux données utilisateur, aux bases de données internes, aux clés API et aux historiques de conversation.

La faille ne provient pas d’erreurs d’implémentation, mais du comportement par défaut dans le SDK officiel d’Anthropic lors de la gestion du transport STDIO — affectant les versions Python, TypeScript, Java et Rust. Le StdioServerParameters dans le SDK officiel lance directement des sous-processus en fonction des paramètres de commande de configuration ; sans assainissement supplémentaire des entrées par les développeurs, toute saisie utilisateur atteignant cette étape devient une commande système. OX Security a identifié quatre vecteurs d’attaque : l’injection de commandes directe via des interfaces de configuration, le contournement de l’assainissement avec des indicateurs de commande sur liste blanche (par exemple npx -c ), l’injection via des prompts dans des IDE pour réécrire des fichiers de configuration MCP pour des outils comme Windsurf afin d’exécuter des services STDIO malveillants sans interaction utilisateur, et l’injection de configurations STDIO via des requêtes HTTP dans des marketplaces MCP.

Selon OX Security, les packages concernés ont été téléchargés plus de 150 millions de fois, et 7 000+ serveurs MCP accessibles publiquement exposent jusqu’à 200 000 instances sur plus de 200 projets open source. L’équipe a soumis 30+ divulgations responsables, entraînant 10+ CVE à sévérité élevée ou critique couvrant des frameworks IA et des IDE, notamment LiteLLM, LangFlow, Flowise, Windsurf, GPT Researcher, Agent Zero et DocsGPT ; 9 des 11 dépôts de paquets MCP testés pouvaient être compromis en utilisant cette technique.

Anthropic a répondu que c’est « conçu ainsi », en qualifiant le modèle d’exécution de STDIO de « conception par défaut sécurisée », et a transféré la responsabilité de l’assainissement des entrées aux développeurs, refusant de modifier le protocole ou le SDK officiel. Bien que DocsGPT et LettaAI aient publié des correctifs, l’implémentation de référence d’Anthropic reste inchangée. Comme MCP devient la norme de fait pour les agents IA qui accèdent à des outils externes — suivie par OpenAI, Google et Microsoft — tout service MCP utilisant l’approche STDIO par défaut du SDK officiel pourrait devenir un vecteur d’attaque, même si les développeurs écrivent du code sans erreur.