U alatu Anthropic MCP Inspector otkrivena je kritična ranjivost koja omogućava izvršavanje proizvoljnog koda na mašinama razvojnih inženjera, poznata pod oznakom CVE-2025-49596. Ova greška, sa CVSS ocjenom 9.4, predstavlja jedan od prvih značajnih bezbjednosnih propusta u ekosistemu Anthropicovog protokola za kontekst modela (MCP), potencijalno izlažući AI razvojne inženjere i njihove organizacije ozbiljnim sajber prijetnjama putem napada koji se izvode preko web pregledača.
Ranjivost je prvobitno prijavljena kompaniji Anthropic od strane Oligo Security Research u aprilu 2025. godine, nakon ranije prijave drugog istraživača u martu iste godine. Ugrožene su sve verzije MCP Inspectora prije 0.14.1, dopuštajući napadačima da izvršavaju proizvoljni kod na računarima razvojnih inženjera, jednostavno navodeći žrtve da posjete maliciozne web stranice.
MCP Inspector je zvanični alat za ispravljanje grešaka koji je razvio Anthropic, a sastoji se od dva glavna dijela: MCP Inspector Client (MCPI), web interfejs baziran na Reactu, i MCP Proxy (MCPP), server zasnovan na Node.js-u koji služi kao veza između web interfejsa i MCP servera. Kada razvojni inženjeri prate standardnu dokumentaciju i pokrenu naredbu ‘mcp dev’, alat se pokreće s podrazumijevanim postavkama koje nemaju adekvatne mehanizme provjere autentičnosti, stvarajući time značajnu površinu za napad.
Ovaj propust posebno ugrožava AI razvojne inženjere i organizacije koje koriste MCP za komunikaciju između agenata i alata. Velike tehnološke kompanije, poput Microsofta i Googlea, koje sve više zavise od tehnologija povezanih s MCP-om za svoje AI i cloud usluge, mogle bi biti pogođene ako koriste ranjive verzije alata za inspekciju.
Napad koristi kombinaciju ranjivosti Cross-Site Request Forgery (CSRF) i poznate “0.0.0.0-dnevne” ranjivosti pregledača koja je neispravljena u glavnim pregledačima poput Chromea i Firefoxa već 19 godina. Napadači mogu kreirati maliciozne JavaScript pakete koji ciljaju /sse krajnju tačku MCP Inspectora, koristeći mehanizam za prenos podataka putem standardnog ulaza/izlaza (stdio). Tipični paket za napad cilja http://0.0.0.0:6277/sse?transportType=stdio&command=touch&args=%2Ftmp%2Fexploited-from-the-browser, dopuštajući napadačima daljinsko izvršavanje sistemskih naredbi.
Maliciozni kod se može ugraditi u web stranice, blogove ili drugi web sadržaj, čineći vektor napada izuzetno opasnim za razvojne inženjere koji često pregledavaju tehnički sadržaj na internetu. IP adresa 0.0.0.0 omogućava malicioznim web stranicama da komuniciraju s lokalnim servisima, zaobilazeći tradicionalne bezbjednosne kontrole pregledača. Ovo napadačima omogućava potpun pristup računaru žrtve, krađu osjetljivih podataka, instalaciju „stražnjih vrata“ (backdoors) i potencijalno širenje napada po povezanim mrežama.
Faktori rizika obuhvataju sve verzije Anthropic MCP Inspectora prije 0.14.1, s uticajem koji uključuje daljinsko izvršavanje koda (RCE) i proizvoljno izvršavanje naredbi. Preduslovi za eksploataciju uključuju rad ranjivog MCP Inspector alata od strane žrtve te posjetu malicioznoj web stranici koja sadrži izrađeni JavaScript paket. CVSS 3.1 ocjena za ovu ranjivost je 9.4, što se smatra kritičnim.
Anthropic je brzo reagovao na ovu ranjivost u verziji MCP Inspectora 0.14.1, implementirajući provjeru autentičnosti putem sesijskih tokena, slično kao kod Jupyter notebookova. Ovo rješenje uključuje mehanizme autorizacije i provjeru porijekla kako bi se spriječili CSRF napadi i pokušaji DNS preusmjeravanja.
Razvojni inženjeri bi trebalo odmah da ažuriraju na verziju 0.14.1 ili noviju koristeći naredbu npm install -g "@modelcontextprotocol/inspector@^0.14.1". Korisnici mogu provjeriti svoju trenutnu verziju pomoću naredbe npm list -g i treba da provjere kako globalne instalacije, tako i specifične projektne instance u direktorijumima node_modules. Nova verzija podrazumijevano generiše jedinstvene sesijske tokene i uključuje poboljšanu bezbjednosnu dokumentaciju. Anthropic je takođe unaprijedio provjeru porijekla, čime je u potpunosti ublažio vektore napada putem pregledača s javnih web stranica koje ciljaju lokalne servise.
