В технология на ИИ-стартъпа Anthropic е открита критична уязвимост
В препоръчаната от компанията Anthropic технология Model Context Protocol (MCP) Inspector е открита сериозна накърнимост, която би могла да разреши на евентуален хакер да прави офанзиви за отдалечено осъществяване на код върху целеви устройства.
Anthropic е най-известна със своя генеративен AI-чатбот Claude, само че е и създател на MCP — отворен стандарт, който разрешава сигурна двупосочна връзка сред AI-платформите и външни източници на данни. Инструментът с отворен код Inspector е предопределен за тестване и премахване на неточности в MCP сървърите. Известно е, че Inspector има накърнимост, която може да бъде употребена за кражба на чувствителни данни, внедряване на злотворен програмен продукт и странично напредване през целевите мрежи.
Уязвимостта е с номер CVE-2025-49596 и е с сериозна оценка за опасност от 9,4 от 10. За да се употребява уязвимостта, тя би трябвало да се комбинира дружно с „ 0.0.0.0. Day “ — накърнимост с двайсет годишна отминалост в браузъра, която разрешава на злонамерените уеб сайтове да хакват местни мрежи. Атакуващият основава злоумишлен уебсайт, който при отваряне изпраща поръчка към localhost услуги на MCP сървъра, което прави допустимо осъществяването на случаен код на машината на разработчика. Anthropic е известена за казуса през април, а на 13 юни компанията пусна актуализацията Inspector 0.14.1, в която е прибавен токен за сесията и инспекция на произхода, което направи офанзивата по-трудна.
