0.0.0.0 Day возвращается: как старый баг ломает защиту новейшего искусственного интеллекта
NewsMakerТеперь любой может управлять вашими ИИ-серверами.
Компания Anthropic столкнулась с серьёзной уязвимостью в одном из своих проектов, предназначенных для работы с искусственным интеллектом. Обнаруженная проблема в инструменте Model Context Protocol (MCP) Inspector получила идентификатор CVE-2025-49596 и оценку 9,4 из 10 возможных по шкале CVSS, что указывает на её критическую опасность. Уязвимость позволяет удалённо исполнять произвольный код на устройствах разработчиков, что открывает путь к полному контролю над их системами.
Как отмечают специалисты компании Oligo Security, это один из первых случаев столь серьёзной угрозы в экосистеме MCP от Anthropic. Они подчёркивают, что обнаруженная брешь демонстрирует новую категорию атак через браузеры, нацеленных на инструменты для разработчиков, работающих с искусственным интеллектом. Если злоумышленнику удастся воспользоваться уязвимостью, он сможет красть данные, устанавливать скрытые программы и перемещаться по внутренней сети компании или проекта.
Сам протокол MCP был представлен Anthropic в ноябре 2024 года. Он разработан как открытый стандарт для взаимодействия приложений на базе больших языковых моделей (LLM) с внешними источниками данных и инструментами. MCP Inspector — это вспомогательный инструмент для разработчиков, позволяющий тестировать и отлаживать серверы, работающие по протоколу MCP. Инструмент состоит из клиента с интерактивным интерфейсом и прокси-сервера, который обеспечивает связь между веб-интерфейсом и разными серверами MCP.
Однако ключевая особенность этого инструмента, заключающаяся в возможности запускать локальные процессы и подключаться к произвольным серверам MCP, требует строгого ограничения доступа. По умолчанию сервер не должен быть доступен из ненадёжных сетей. Тем не менее, стандартные настройки инструмента этого не учитывали — в них отсутствовала аутентификация и шифрование, что существенно расширяло потенциальную поверхность для атак.
Специалисты пояснили, что эта конфигурация позволяет любому пользователю локальной сети или даже внешнего интернета взаимодействовать с уязвимыми серверами MCP и эксплуатировать их. Сама атака строится на сочетании нескольких факторов: известного дефекта современных браузеров, получившего название «0.0.0.0 Day», и уязвимости CSRF в Inspector. В результате, достаточно открыть вредоносный сайт, чтобы на машине разработчика был выполнен произвольный код.
Суть уязвимости «0.0.0.0 Day» заключается в том, что браузеры некорректно обрабатывают IP-адрес 0.0.0.0, позволяя злоумышленникам через специально подготовленные сайты атаковать локальные сервисы пользователя. Если MCP Inspector запущен в стандартной конфигурации, его прокси-сервер слушает порт 6277 на всех доступных IP-адресах, включая локальный интерфейс 127.0.0.1. Через это уязвимое место вредоносный сайт может отправить запросы к локальному сервису и запустить на устройстве произвольные команды.
Также отмечается, что для усиления атаки можно применить технику подмены DNS-записей (DNS rebinding), позволяющую обойти стандартные средства защиты и получить удалённое выполнение кода.
После того как специалисты уведомили разработчиков Anthropic о проблеме в апреле 2025 года, в середине июня было выпущено обновление MCP Inspector версии 0.14.1. В новой версии добавлена проверка подлинности запросов и их происхождения, что значительно усложняет возможность эксплуатации уязвимости. Теперь сервер проверяет заголовки Host и Origin, а также требует авторизацию, что блокирует атаки типа DNS rebinding и CSRF.
Тем временем в других продуктах Anthropic были обнаружены дополнительные слабые места. В частности, компания Trend Micro сообщила о незакрытой уязвимости в сервере SQLite MCP, которая позволяет внедрять вредоносные подсказки, красть данные и управлять действиями ИИ-агентов. Специалисты подчёркивают, что такие атаки опасны тем, что системы искусственного интеллекта зачастую полностью доверяют внутренним данным, не проверяя их источник.
Кроме того, команда Backslash Security сообщила о массовом распространении уязвимых MCP-серверов, настроенных с ошибками. Эти серверы позволяют исполнять произвольные команды из-за некорректной обработки входящих данных, а также из-за привязки к IP-адресу 0.0.0.0, что делает их доступными для всех в локальной сети.
Специалисты приводят простой, но наглядный сценарий: если разработчик запускает уязвимый сервер MCP в коворкинге или кафе, любой человек поблизости может подключиться к нему и получить полный контроль над системой. Поскольку MCP-серверы по своей природе обмениваются данными с внешними источниками, через них также возможны атаки методом подмены контекста и скрытого внедрения команд.
Как отмечают специалисты, наиболее эффективной защитой может быть внедрение чётких правил поведения для ИИ-агентов, чтобы те самостоятельно определяли подозрительные данные и отказывались от их использования. Такой подход, хоть и требует дополнительных усилий, позволяет минимизировать риск атак на инфраструктуру, построенную вокруг MCP.
Anthropic подчёркивает, что проект MCP Inspector позиционируется как демонстрационный и не рекомендуется для использования в производственной среде. Однако за время его существования репозиторий на GitHub был клонирован более 5 тысяч раз. После выявления серьёзных недостатков проект был официально заморожен и заархивирован 29 мая 2025 года. Новые обновления для него больше не планируются.
Компания Anthropic столкнулась с серьёзной уязвимостью в одном из своих проектов, предназначенных для работы с искусственным интеллектом. Обнаруженная проблема в инструменте Model Context Protocol (MCP) Inspector получила идентификатор CVE-2025-49596 и оценку 9,4 из 10 возможных по шкале CVSS, что указывает на её критическую опасность. Уязвимость позволяет удалённо исполнять произвольный код на устройствах разработчиков, что открывает путь к полному контролю над их системами.
Как отмечают специалисты компании Oligo Security, это один из первых случаев столь серьёзной угрозы в экосистеме MCP от Anthropic. Они подчёркивают, что обнаруженная брешь демонстрирует новую категорию атак через браузеры, нацеленных на инструменты для разработчиков, работающих с искусственным интеллектом. Если злоумышленнику удастся воспользоваться уязвимостью, он сможет красть данные, устанавливать скрытые программы и перемещаться по внутренней сети компании или проекта.
Сам протокол MCP был представлен Anthropic в ноябре 2024 года. Он разработан как открытый стандарт для взаимодействия приложений на базе больших языковых моделей (LLM) с внешними источниками данных и инструментами. MCP Inspector — это вспомогательный инструмент для разработчиков, позволяющий тестировать и отлаживать серверы, работающие по протоколу MCP. Инструмент состоит из клиента с интерактивным интерфейсом и прокси-сервера, который обеспечивает связь между веб-интерфейсом и разными серверами MCP.
Однако ключевая особенность этого инструмента, заключающаяся в возможности запускать локальные процессы и подключаться к произвольным серверам MCP, требует строгого ограничения доступа. По умолчанию сервер не должен быть доступен из ненадёжных сетей. Тем не менее, стандартные настройки инструмента этого не учитывали — в них отсутствовала аутентификация и шифрование, что существенно расширяло потенциальную поверхность для атак.
Специалисты пояснили, что эта конфигурация позволяет любому пользователю локальной сети или даже внешнего интернета взаимодействовать с уязвимыми серверами MCP и эксплуатировать их. Сама атака строится на сочетании нескольких факторов: известного дефекта современных браузеров, получившего название «0.0.0.0 Day», и уязвимости CSRF в Inspector. В результате, достаточно открыть вредоносный сайт, чтобы на машине разработчика был выполнен произвольный код.
Суть уязвимости «0.0.0.0 Day» заключается в том, что браузеры некорректно обрабатывают IP-адрес 0.0.0.0, позволяя злоумышленникам через специально подготовленные сайты атаковать локальные сервисы пользователя. Если MCP Inspector запущен в стандартной конфигурации, его прокси-сервер слушает порт 6277 на всех доступных IP-адресах, включая локальный интерфейс 127.0.0.1. Через это уязвимое место вредоносный сайт может отправить запросы к локальному сервису и запустить на устройстве произвольные команды.
Также отмечается, что для усиления атаки можно применить технику подмены DNS-записей (DNS rebinding), позволяющую обойти стандартные средства защиты и получить удалённое выполнение кода.
После того как специалисты уведомили разработчиков Anthropic о проблеме в апреле 2025 года, в середине июня было выпущено обновление MCP Inspector версии 0.14.1. В новой версии добавлена проверка подлинности запросов и их происхождения, что значительно усложняет возможность эксплуатации уязвимости. Теперь сервер проверяет заголовки Host и Origin, а также требует авторизацию, что блокирует атаки типа DNS rebinding и CSRF.
Тем временем в других продуктах Anthropic были обнаружены дополнительные слабые места. В частности, компания Trend Micro сообщила о незакрытой уязвимости в сервере SQLite MCP, которая позволяет внедрять вредоносные подсказки, красть данные и управлять действиями ИИ-агентов. Специалисты подчёркивают, что такие атаки опасны тем, что системы искусственного интеллекта зачастую полностью доверяют внутренним данным, не проверяя их источник.
Кроме того, команда Backslash Security сообщила о массовом распространении уязвимых MCP-серверов, настроенных с ошибками. Эти серверы позволяют исполнять произвольные команды из-за некорректной обработки входящих данных, а также из-за привязки к IP-адресу 0.0.0.0, что делает их доступными для всех в локальной сети.
Специалисты приводят простой, но наглядный сценарий: если разработчик запускает уязвимый сервер MCP в коворкинге или кафе, любой человек поблизости может подключиться к нему и получить полный контроль над системой. Поскольку MCP-серверы по своей природе обмениваются данными с внешними источниками, через них также возможны атаки методом подмены контекста и скрытого внедрения команд.
Как отмечают специалисты, наиболее эффективной защитой может быть внедрение чётких правил поведения для ИИ-агентов, чтобы те самостоятельно определяли подозрительные данные и отказывались от их использования. Такой подход, хоть и требует дополнительных усилий, позволяет минимизировать риск атак на инфраструктуру, построенную вокруг MCP.
Anthropic подчёркивает, что проект MCP Inspector позиционируется как демонстрационный и не рекомендуется для использования в производственной среде. Однако за время его существования репозиторий на GitHub был клонирован более 5 тысяч раз. После выявления серьёзных недостатков проект был официально заморожен и заархивирован 29 мая 2025 года. Новые обновления для него больше не планируются.