Sabotaggio silenzioso: come un difetto “by design” nell’MCP di Anthropic potrebbe innescare il prossimo collasso della supply chain dell’IA

È iniziata come tante storie di successo nel tech: il Model Context Protocol (MCP) di Anthropic prometteva di semplificare il modo in cui le aziende collegano gli agenti IA ai propri dati. Le imprese vi si sono riversate, fidandosi della sua efficienza e sicurezza - finché un singolo, ostinato difetto, liquidato come “by design”, si è rivelato la piattaforma di lancio perfetta per una nuova era di attacchi alla supply chain. Ora, una vulnerabilità silenziosa minaccia di propagarsi lungo la spina dorsale dell’economia moderna alimentata dall’IA, e la risposta di Anthropic ha lasciato molti esposti, e più di qualcuno furioso.

Come una “funzionalità” è diventata un bug fatale

Introdotto alla fine del 2024, MCP è diventato rapidamente il ponte di riferimento per le aziende che distribuivano agenti IA interni. Invece di costruire connettori propri, gli sviluppatori potevano affidarsi allo standard aperto di MCP, e la maggior parte delle implementazioni ereditava il codice core di Anthropic. Ma, come ha scoperto OX Security, sotto la superficie si nascondeva una svista cruciale: l’interfaccia STDIO del protocollo era progettata per avviare processi server locali - ed eseguiva qualsiasi comando le venisse passato, indipendentemente dal fatto che il processo si avviasse con successo. In parole semplici: inserisci un comando malevolo, ricevi un errore, e il comando viene comunque eseguito. Nessun allarme. Nessun avviso. Nessun indizio nel codice che possa mettere in guardia anche lo sviluppatore più scrupoloso.

I test di OX Security hanno mostrato quanto facilmente questo meccanismo potesse essere abusato. Dall’installazione di malware all’esfiltrazione di dati sensibili o chiavi API interne, la porta era spalancata. Peggio ancora, lo status “by design” del difetto significava che non si trattava di un incidente - era codificato nel cuore stesso di MCP, e quasi ogni versione dei principali provider ne risultava colpita. Mentre l’implementazione di GitHub si è rivelata più sicura, la maggior parte delle altre ha fallito in modo clamoroso.

Scaricare il barile - e il rischio

La divulgazione iniziale ad Anthropic e ai vendor a valle è stata accolta con silenzio o con un rimpallo di responsabilità. Alla fine, Anthropic ha aggiornato in silenzio la propria documentazione di sicurezza, consigliando agli sviluppatori di usare gli adapter MCP “con cautela” - ma il difetto di fondo è rimasto. Il messaggio implicito: la sicurezza è un problema vostro, non nostro. Questa posizione può avere senso in teoria, ma nella pratica lascia migliaia di aziende - molte con competenze di sicurezza limitate - vulnerabili ad attacchi devastanti che potrebbero diffondersi nella supply chain dell’IA come un incendio.

Il report di OX Security suggerisce correzioni chiare: deprecare le connessioni STDIO non sanificate, introdurre il sandboxing dei comandi, richiedere opt-in espliciti per le modalità rischiose e imporre manifest di sicurezza standardizzati. Ma finché questi cambiamenti non verranno adottati, il rischio persiste - potenzialmente abilitando quella che OX definisce “la madre di tutti gli attacchi alla supply chain”.

La strada davanti

Per ora, le organizzazioni che usano MCP devono muoversi con cautela, sapendo che uno strumento fidato potrebbe rivelarsi la loro rovina. Man mano che l’IA si intreccia sempre di più con le operazioni aziendali, la linea tra comodità e catastrofe si assottiglia. La lezione? Nel mondo dell’infrastruttura IA, ciò che è “by design” a volte può essere un disastro in attesa di accadere.

WIKICROOK

• Attacco alla supply chain: Un attacco alla supply chain è un cyberattacco che compromette fornitori di software o hardware fidati, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
• STDIO: STDIO sta per standard input/output (input/output standard), consentendo ai programmi di comunicare con gli utenti o con altri processi. È essenziale per un funzionamento software sicuro e interattivo.
• IA agentica: I sistemi di IA agentica possono prendere decisioni ed eseguire azioni in modo indipendente, operando con supervisione umana limitata e adattandosi a situazioni in cambiamento.
• Sanitizzazione dei comandi: La sanitizzazione dei comandi filtra o valida i comandi prima dell’esecuzione, impedendo input malevoli e riducendo il rischio di attacchi di command injection.
• Divulgazione coordinata: La divulgazione coordinata è la segnalazione privata di falle di sicurezza ai vendor, dando loro il tempo di correggere i problemi prima della divulgazione pubblica per proteggere gli utenti.