U alatu Anthropic MCP Inspector otkrivena je kritična ranjivost koja omogućava izvršavanje proizvoljnog koda na mašinama razvojnih inženjera, poznata pod oznakom CVE-2025-49596. Ova greška, sa CVSS ocjenom 9.4, predstavlja jedan od prvih značajnih sigurnosnih propusta u ekosistemu Anthropicovog protokola za kontekst modela (MCP), potencijalno izlažući AI razvojne inženjere i njihove organizacije značajnim kibernetičkim prijetnjama putem napada koji se izvode preko web preglednika.
Ranjivost je prvobitno prijavljena kompaniji Anthropic od strane Oligo Security Research u aprilu 2025. godine, nakon ranije prijave drugog istraživača u martu iste godine. Oštećeni su svi verzije MCP Inspectora prije 0.14.1, dopuštajući napadačima da izvršavaju proizvoljni kod na računalima razvojnih inženjera, jednostavno navodeći žrtve da posjete zlonamjerne web stranice.
MCP Inspector je zvanični alat za ispravljanje grešaka koji je razvio Anthropic, a sastoji se od dva glavna dijela: MCP Inspector Client (MCPI), web sučelje bazirano na Reactu, i MCP Proxy (MCPP), server zasnovan na Node.js koji služi kao veza između web sučelja i MCP servera. Kada razvojni inženjeri prate standardnu dokumentaciju i pokrenu naredbu ‘mcp dev’, alat se pokreće s podrazumijevanim postavkama koje nemaju adekvatne mehanizme provjere autentičnosti, stvarajući time značajnu površinu za napad.
Ovaj propust posebno cilja AI razvojne inženjere i organizacije koje koriste MCP za komunikaciju između agenata i alata. Velike tehnološke kompanije, poput Microsofta i Googlea, koje sve više zavise od tehnologija povezanih s MCP-om za svoje AI i usluge u oblaku, mogle bi biti pogođene ako koriste ranjive verzije alata za inspekciju.
Napad koristi kombinaciju ranjivosti Cross-Site Request Forgery (CSRF) i poznate “0.0.0.0-dnevne” ranjivosti preglednika koja je neispravljena u glavnim preglednicima poput Chromea i Firefoxa već 19 godina. Napadači mogu kreirati zlonamjerne JavaScript pakete koji ciljaju /sse krajnju tačku MCP Inspectora, koristeći mehanizam za prijenos podataka putem standardnog ulaza/izlaza (stdio). Tipični paket za napad cilja http://0.0.0.0:6277/sse?transportType=stdio&command=touch&args=%2Ftmp%2Fexploited-from-the-browser, dopuštajući napadačima daljinsko izvršavanje sistemskih naredbi.
Zlonamjerni kod se može ugraditi u web stranice, blogove ili drugi web sadržaj, čineći vektor napada izuzetno opasnim za razvojne inženjere koji često pregledavaju tehnički sadržaj na internetu. IP adresa 0.0.0.0 omogućava zlonamjernim web stranicama da komuniciraju s lokalnim servisima, zaobilazeći tradicionalne sigurnosne kontrole preglednika. Ovo napadačima omogućava potpun pristup računalu žrtve, krađu osjetljivih podataka, instaliranje stražnjih vrata (backdoors) i potencijalno širenje napada po povezanim mrežama.
Faktori rizika obuhvataju sve verzije Anthropic MCP Inspectora prije 0.14.1, s utjecajem koji uključuje daljinsko izvršavanje koda (RCE) i proizvoljno izvršavanje naredbi. Preduslovi za eksploataciju uključuju rad ranjivog MCP Inspector alata od strane žrtve te posjetu zlonamjernoj web stranici koja sadrži izrađeni JavaScript paket. CVSS 3.1 ocjena za ovu ranjivost je 9.4, što se smatra kritičnim.
Anthropic je promptno reagovao na ovu ranjivost u verziji MCP Inspectora 0.14.1, implementirajući provjeru autentičnosti putem sesijskih tokena, slično kao kod Jupyter notebookova. Ovo rješenje uključuje mehanizme autorizacije i provjeru porijekla kako bi se spriječili CSRF napadi i pokušaji DNS preusmjeravanja.
Razvojni inženjeri bi se trebali odmah ažurirati na verziju 0.14.1 ili noviju koristeći naredbu npm install -g “@modelcontextprotocol/inspector@^0.14.1”. Korisnici mogu provjeriti svoju trenutnu verziju pomoću naredbe npm list -g i trebaju provjeriti kako globalne instalacije, tako i specifične projektne instance u direktorijima node_modules. Nova verzija podrazumevano generira jedinstvene sesijske tokene i uključuje poboljšanu sigurnosnu dokumentaciju. Anthropic je također poboljšao provjeru porijekla, čime je u potpunosti ublažio vektore napada putem preglednika s javnih web stranica koje ciljaju lokalne servise.
