Vulnerabilità del protocollo MCP di Anthropic: un rischio per l'intera catena di fornitura dell'IA Gli esperti di cybersecurity hanno recentemente identificato una critica vulnerabilità architetturale nel Model Context Protocol (MCP) di Anthropic, che potrebbe permettere l'esecuzione di codice da remoto…
Vulnerabilità del protocollo MCP di Anthropic: un rischio per l’intera catena di fornitura dell’IA
Gli esperti di cybersecurity hanno recentemente identificato una critica vulnerabilità architetturale nel Model Context Protocol (MCP) di Anthropic, che potrebbe permettere l’esecuzione di codice da remoto (Remote Code Execution, RCE). Questo problema non solo mette in pericolo i sistemi che utilizzano implementazioni vulnerabili di MCP, ma rappresenta anche una minaccia seria per l’intera catena di fornitura dell’intelligenza artificiale.
Un rischio sistemico
Secondo un rapporto di OX Security, gli esperti hanno sottolineato che questa vulnerabilità conferisce a potenziali attaccanti l’accesso a dati sensibili, database interni, chiavi API e storici delle chat. La gravità della situazione è amplificata dal fatto che il difetto è integrato nel kit di sviluppo software (SDK) ufficiale di Anthropic, che supporta diversi linguaggi di programmazione tra cui Python, Java e Rust. A livello globale, si stima che oltre 7.000 server e pacchetti software, con più di 150 milioni di download, siano esposti a questa vulnerabilità.
Categorie di vulnerabilità
Le vulnerabilità identificate si suddividono in quattro categorie principali, tutte capaci di innescare l’RCE sui server vulnerabili:
- Iniezione di comandi non autenticati e autenticati attraverso l’interfaccia STDIO di MCP
- Iniezione di comandi non autenticati via configurazione STDIO diretta con bypass delle misure di sicurezza
- Iniezione di comandi non autenticati tramite modifica della configurazione di MCP mediante attacchi a prompt zero-click
- Iniezione di comandi non autenticati attraverso i marketplace di MCP attivando configurazioni nascoste su STDIO
Un attacco per tutti
Uno degli aspetti più preoccupanti è che questa vulnerabilità colpisce diverse applicazioni popolari utilizzate in vari contesti, come LiteLLM e LangChain. Un’implementazione difettosa di STDIO può consentire a un attaccante di eseguire qualsiasi comando di sistema arbitrario, con conseguenze disastrose per la sicurezza delle informazioni.
È importante sottolineare che, sebbene alcuni fornitori abbiano emesso patch per le loro applicazioni, il protocollo di riferimento di Anthropic non ha ancora ricevuto le necessarie modifiche. Questo significa che i programmatori che si basano su questo codice ereditano i rischi di esecuzione di codice, aprendo la porta a potenziali attacchi in tutta la catena di fornitura dell’IA.
Conclusione pratica: come proteggersi
Per arginare questi rischi, gli esperti consigliano di adottare una serie di misure preventive. È fondamentale limitare l’accesso alle risorse sensibili da indirizzi IP pubblici, monitorare continuamente le invocazioni degli strumenti MCP e far girare i servizi abilitati da MCP in ambienti isolati. È inoltre consigliato trattare gli input di configurazione MCP esterni come non fidati, installando solo i server MCP provenienti da fonti verificate.
In Italia, dove molte aziende stanno rapidamente adottando soluzioni di intelligenza artificiale, è cruciale che enti e sviluppatori siano a conoscenza di queste vulnerabilità. Agire proattivamente non solo proteggerà i dati sensibili delle organizzazioni, ma contribuirà anche a garantire la sicurezza delle integrazioni avanzate nell’ecosistema dell’IA nel nostro Paese.
