Anthropic'ten Tartışmalı Hamle: Kritik Güvenlik Açığına 'Özellik' Dedi

Yapay zeka ajanlarının araçlarla iletişim kurmasını sağlayan ve sektör standardı haline gelen Model Context Protocol (MCP), ciddi bir güvenlik zafiyetiyle sarsıldı. Anthropic tarafından geliştirilen, OpenAI ve Google DeepMind gibi devlerin benimsediği ve Linux Vakfı'na bağışlanan protokolün, saldırganlara sistem üzerinde tam kontrol verme riski taşıdığı ortaya çıktı.

OX Security araştırmacıları tarafından tespit edilen kritik açık, MCP'nin yerel araçlara bağlanmak için varsayılan olarak kullandığı STDIO taşıma katmanında yer alıyor. Araştırmaya göre sistem, aldığı işletim sistemi komutlarını herhangi bir filtreleme veya temizleme (sanitization) işlemi yapmadan doğrudan çalıştırıyor. Konfigürasyon ve komut yürütme arasında hiçbir sınır bulunmaması, kötü niyetli komutların sistemde çalışmasına neden olurken, hata mesajları ancak işlem tamamlandıktan sonra verildiği için geliştirici araçları herhangi bir uyarı vermiyor.

OX Security araştırmacıları Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok ve Roni Bar tarafından yürütülen taramalar sonucunda, kamuya açık IP adreslerinde STDIO taşıması aktif olan 7.000 sunucu tespit edildi. Bu oran üzerinden yapılan ekstrapolasyonla, dünya genelinde yaklaşık 200.000 örneğin bu zafiyete açık olduğu tahmin ediliyor. Araştırmacılar, ücretli müşterileri olan altı farklı canlı üretim platformunda keyfi komut yürütme işlemini başarıyla gerçekleştirdiklerini doğruladı.

Söz konusu güvenlik açığı; LiteLLM, LangFlow, Flowise, Windsurf, Langchain-Chatchat, Bisheng, DocsGPT, GPT Researcher, Agent Zero ve LettaAI gibi popüler araçları etkiledi. Bu süreçte, ilgili platformlar genelinde "yüksek" veya "kritik" seviyede derecelendirilen 10'dan fazla CVE (Ortak Zafiyet ve Maruz Kalma) kaydı oluşturuldu.

Konuyla ilgili görüş bildiren IEEE kıdemli üyesi ve Ulster Üniversitesi siber güvenlik profesörü Kevin Curran, bu durumun "temel yapay zeka altyapısının güvenliğinde şok edici bir boşluğu ortaya çıkardığını" belirtti.

Tartışmaların odağındaki Anthropic ise beklenmedik bir tavır sergiledi. Şirket, söz konusu davranışın "tasarım gereği" olduğunu savunarak protokolde herhangi bir değişiklik yapmayı reddetti. Anthropic'in bu durumu "beklenen" bir süreç olarak tanımladığı ve girdi temizleme sorumluluğunun tamamen geliştiriciye ait olduğunu öne sürdüğü belirtiliyor. Ancak OX Security, 200.000 geliştiricinin girdileri hatasız bir şekilde temizlemesini beklemenin başlı başına bir güvenlik sorunu olduğunu vurguluyor.