Sabotaggio silenzioso: un difetto nascosto del protocollo di Anthropic mette in pericolo gli ecosistemi di IA

Tutto è iniziato con una singola riga di codice - una scorciatoia architetturale annidata in profondità nel Model Context Protocol (MCP) del colosso dell’IA Anthropic. Ma mentre gli investigatori di cybersicurezza di OX Security ne tracciavano l’effetto a catena, hanno scoperto un incubo da supply chain: oltre 7.000 server e 150 milioni di download software risultano ora esposti, vulnerabili ad attacchi di esecuzione di codice da remoto (RCE) che potrebbero compromettere dati sensibili in tutto il panorama dell’IA.

Fatti in breve

• Un difetto critico nell’SDK MCP di Anthropic consente l’esecuzione di codice da remoto (RCE) su qualsiasi sistema che utilizzi il protocollo.
• La vulnerabilità impatta oltre 7.000 server pubblici e più di 150 milioni di download software in Python, TypeScript, Java e Rust.
• Almeno 10 progetti di IA popolari - tra cui LangChain, LiteLLM e Flowise - colpiti da molteplici CVE collegati al difetto.
• Anthropic ha rifiutato di riprogettare il protocollo, definendo il comportamento rischioso come “previsto”.
• Gli esperti avvertono: si tratta di un rischio sistemico per la supply chain, non di un bug isolato.

L’anatomia di una crisi della supply chain dell’IA

Al centro della crisi c’è il modo in cui MCP gestisce la configurazione tramite la sua interfaccia STDIO (standard input/output). Progettato per semplificare il modo in cui i modelli di IA interagiscono con il loro ambiente, il protocollo consente involontariamente agli attaccanti di eseguire comandi arbitrari sui server colpiti - senza alcuna autenticazione. Ciò significa che un semplice prompt o una richiesta configurata male potrebbe permettere agli hacker di sottrarre dati degli utenti, rubare chiavi API o persino dirottare database interni.

L’indagine di OX Security ha rivelato almeno dieci progetti principali - e innumerevoli dipendenze - esposti da questo difetto, con vulnerabilità che spaziano dall’iniezione di comandi senza autenticazione, ad attacchi prompt zero-click, fino a configurazioni STDIO nascoste. Peggio ancora, lo stesso errore architetturale ha risuonato in tutto l’ecosistema dell’IA, emergendo in progetti diversi come LangChain, DocsGPT e LiteLLM, ciascuno con un proprio CVE ma con lo stesso pericoloso DNA.

Mentre alcuni fornitori si sono affrettati a correggere le proprie implementazioni, gli SDK ufficiali e il codice di riferimento di Anthropic restano invariati. L’azienda sostiene che il protocollo stia funzionando come previsto, spostando l’onere della sicurezza sugli sviluppatori a valle - molti dei quali hanno ereditato il rischio senza saperlo. “Una decisione architetturale, presa una volta, si è propagata silenziosamente in ogni linguaggio, in ogni libreria downstream e in ogni progetto che si è fidato del protocollo”, ha osservato OX Security.

Questo è più di un intoppo tecnico: è una storia ammonitrice sui pericoli nascosti che si annidano nella supply chain dell’IA. Una singola svista, lasciata senza controllo, può metastatizzare attraverso repository open-source, progetti commerciali e distribuzioni cloud in tutto il mondo.

E adesso? Orientarsi tra le conseguenze

Gli esperti di sicurezza raccomandano mitigazioni urgenti: bloccare l’accesso da IP pubblici ai servizi MCP sensibili, monitorare le invocazioni degli strumenti, distribuire sandbox e trattare ogni input di configurazione MCP come non attendibile. Soprattutto, utilizzare solo server MCP provenienti da fonti verificate e pretendere trasparenza dai fornitori.

Mentre l’industria dell’IA corre in avanti, questo incidente è un promemoria netto: la fiducia nei protocolli fondamentali non può essere cieca. Il prossimo progresso - o la prossima violazione - potrebbe dipendere dalle linee di codice invisibili sotto le nostre macchine più potenti.

WIKICROOK

• Esecuzione di codice da remoto (RCE): L’esecuzione di codice da remoto (RCE) si verifica quando un attaccante esegue il proprio codice sul sistema della vittima, spesso arrivando al controllo completo o alla compromissione di quel sistema.
• Model Context Protocol (MCP): Il Model Context Protocol (MCP) collega gli strumenti di IA a varie fonti di dati organizzative, consentendo una condivisione dei dati e una collaborazione sicure ed efficienti.
• STDIO (Standard Input/Output): STDIO consente ai programmi di leggere input e scrivere output, essenziale per le operazioni da riga di comando e un elemento chiave nelle pratiche di cybersicurezza.
• Attacco alla supply chain: Un attacco alla supply chain è un attacco informatico che compromette fornitori di software o hardware fidati, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
• CVE (Common Vulnerabilities and Exposures): Una CVE è un identificatore pubblico univoco per una specifica vulnerabilità di sicurezza, che consente un tracciamento e una discussione coerenti in tutto il settore della cybersicurezza.