Стандарт с открытыми дверями: Почему архитектура Anthropic MCP ставит под удар облачные среды

Model Context Protocol (MCP) открытый стандарт от Anthropic для интеграции ИИ-агентов с внешними инструментами, за год стал индустриальным стандартом. Его внедрили Microsoft, AWS, Cloudflare и PayPal. Однако отчеты независимых аудиторов показывают: безопасность протокола не успевает за темпами его внедрения.

Каждый десятый сервер содержит критические уязвимости

Компания BlueRock Security провела аудит экосистемы через проект MCP Trust Registry, просканировав свыше 8 000 публичных серверов по методикам OWASP и MITRE.

Результаты исследования:

• 9,2% серверов имеют критические уязвимости.
• 43% допускают внедрение команд (Command Injection), возможность выполнения произвольного кода на хосте.
• 36,7% уязвимы к SSRF (подделке серверных запросов). Через этот вектор атакующий может получить доступ к ресурсам внутренней сети организации./li>

Данные других команд подтверждают системность проблемы. Исследователи Knostic обнаружили 1 862 MCP-сервера в открытом доступе, из которых выборка в 119 узлов вообще не требовала аутентификации. Без каких-либо ограничений серверы раскрывали доступ к базам данных, облачным инструментам управления и корпоративным панелям управления.

Статистическая неизбежность: Риск растет с каждым плагином

Аналитики Pynt рассчитали кумулятивный эффект использования нескольких расширений. Один MCP-плагин дает 9% вероятности успешной эксплуатации. Для организации, использующей десять подключенных серверов, вероятность взлома возрастает до 92%. В масштабах корпорации это превращает гипотетический риск в статистическую неизбежность.

От конвертации документов до захвата облачного аккаунта

В ходе целевого исследования BlueRock выявили аналогичные атаки на популярный инструмент Microsoft Markitdown (85 000 звезд на GitHub). Уязвимость, получившая название MCP fURI, позволяет реализовать SSRF-атаку.

Инструмент convert_to_markdown принимает произвольные URL без проверки. Передав адрес 169.254.169.254 (служебный IP метаданных облачных машин), злоумышленник может получить:

1. Имя IAM-роли виртуальной машины.
2. Идентификатор ключа, секретный ключ и токен сессии этой роли.
3. Полный административный контроль над облачным аккаунтом через интерфейс командной строки.

Атака актуальна для систем с использованием IMDSv1 версии службы метаданных, не требующей сессионного токена. Несмотря на наличие защитных мер (переход на IMDSv2), более трети всех серверов MCP остаются потенциально уязвимыми к аналогичным векторам.

Критические CVE и первый вредоносный сервер

Список зафиксированных уязвимостей (CVE) в экосистеме MCP указывает на фундаментальные недостатки архитектуры:

• CVE-2025-49596 (CVSS 9.6): В инструменте MCP Inspector от Anthropic обнаружен неаутентифицированный доступ, позволяющий захватить контроль над системой через вредоносную веб-страницу.
• CVE-2025-6514 (CVSS 9.6): Пакет mcp-remote допускал выполнение произвольных команд ОС при подключении к вредоносному серверу.
• CVE-2025-52882 (CVSS 8.8): Расширения Claude Code открывали незащищенные WebSocket-серверы для чтения файлов и запуска кода. Атака актуальна для систем с использованием IMDSv1, версии Instance Metadata Service, не требующей сессионного токена. Несмотря на наличие защитных мер (переход на IMDSv2), более трети всех серверов MCP остаются потенциально уязвимыми к аналогичным векторам.

Корень проблемы в самом протоколе: изначально авторизация в нём была необязательной, и разработчики восприняли это как норму. Зафиксирован и первый случай намеренного внедрения вредоносного кода: npm-пакет Postmark MCP содержал скрытый бэкдор, предоставлявший злоумышленникам полный контроль над ИИ-агентом.

Индустрия повторяет цикл развития ранних облачных API: массовое внедрение технологии опережает развитие механизмов безопасности. Однако масштаб последствий в случае с MCP выше. Каждый подключенный сервер, это не просто точка доступа, а расширение полномочий автономного агента. В условиях, когда ИИ получает доступ к коду и базам данных, любая уязвимость в MCP-сервере должна рассматриваться как прямая угроза всей инфраструктуре.