Hej, pamiętacie te wszystkie fajne, nowe narzędzia AI, które potrafią łączyć się z naszymi repozytoriami kodu, plikami i bazami danych? No właśnie, Model Context Protocol (MCP) od Anthropic miał być właśnie takim bezpiecznym mostem między modelami językowymi a naszymi systemami. Okazuje się, że przez pewien czas ten most miał kilka poważnych dziur, przez które można było przejechać ciężarówką pełną złośliwego kodu.
„Analitycy z firmy Cyata ujawnili luki poprzez responsible disclosure w czerwcu 2025 r., z publicznymi raportami pod koniec stycznia 2026 r.”. Chodzi o oficjalny pakiet `mcp-server-git` od Anthropic, czyli ten komponent, który pozwala AI pracować z systemem kontroli wersji Git. Badacze znaleźli tam nie jedną, a aż trzy osobne luki, którym nadano numery CVE-2025-68145, CVE-2025-68143 i CVE-2025-68144. Brzmi groźnie? Bo groźne było.
Zacznijmy od tego, jak to w ogóle działało. Wyobraźcie sobie, że dajecie dostęp do swojego kodu jakiejś sztucznej inteligencji, na przykład Claude’owi. Żeby AI mogła czytać pliki czy sprawdzać historię zmian, używa właśnie tego serwera MCP. Serwer ten powinien być jak dobry ochroniarz – pilnuje, żeby AI nie weszła tam, gdzie nie powinna. A tu się okazało, że ochroniarz zasnął na kilku stanowiskach naraz.
Pierwsza luka, CVE-2025-68145, to było tak zwane obejście walidacji ścieżek. W dużym skrócie, atakujący mógł podać specjalnie spreparowaną ścieżkę do pliku, która omijała mechanizmy sprawdzające, czy AI ma prawo tam zajrzeć. To trochę jak podanie fałszywego adresu dostawcy pizzy, żeby wejść do zamkniętego osiedla.
Druga podatność, CVE-2025-68143, dotyczyła funkcji inicjalizacji repozytorium. Tutaj serwer pozwalał na utworzenie nowego repozytorium Gita praktycznie w dowolnej lokalizacji na dysku. Wyobraźcie to sobie tak: zapraszacie gościa do pokoju gościnnego, a on nagle otwiera drzwi do waszej sypialni i zaczyna tam urządzać swój magazyn. Nieładnie.
No i trzecia, CVE-2025-68144, czyli wstrzyknięcie argumentów w komendzie `git_diff`. Ta komenda służy do pokazywania różnic między wersjami kodu. Atakujący mógł jednak dołączyć do niej swoje, dodatkowe argumenty, które system bez pytania wykonywał. To już jest sytuacja, w której pytacie kogoś 'co się zmieniło w tym dokumencie?’, a ta osoba odpowiada 'sprawdzę, ale najpierw wykonam tę tajemniczą komendę, którą mam w rękawie’.
Osobno każda z tych luk była niebezpieczna. Ale prawdziwy problem, i tu musicie mi uwierzyć, polegał na tym, że można je było połączyć w łańcuch. Badacze z Cyata wykazali, że używając tych trzech podatności jedna po drugiej, atakujący mógł uzyskać tak zwane RCE, czyli Remote Code Execution. A to już jest najgorszy możliwy scenariusz – oznacza, że osoba z zewnątrz mogła zdalnie wykonać dowolny kod na zaatakowanym serwerze. Mogła więc ukraść dane, zainstalować złośliwe oprogramowanie, albo po prostu przejąć kontrolę nad maszyną.
Dobra wiadomość jest taka, że Anthropic nie zaspało. Firma wydała poprawki już we wrześniu i grudniu 2025 roku. Co konkretnie zrobili? Przede wszystkim wzmocnili walidację ścieżek, żeby nikt nie mógł wskazywać AI miejsc, do których nie ma dostępu. Poprawili też sposób, w jaki serwer wywołuje komendy Gita, zabezpieczając go przed wstrzykiwaniem argumentów. A co najciekawsze, całkowicie usunęli narzędzie `git_init` z pakietu. Widać uznali, że ryzyko związane z tą funkcją jest zbyt duże i lepiej ją po prostu wyciąć.
Co to oznacza dla zwykłych użytkowników? Jeśli korzystacie z jakichkolwiek narzędzi AI, które łączą się z MCP od Anthropic, musicie pilnie sprawdzić, czy macie zainstalowane najnowsze wersje. Aktualizacje z września i grudnia 2025 roku są absolutnie kluczowe. To nie są poprawki typu 'dodaliśmy nowy kolor ikony’. To są łaty zabezpieczające przed pełnym przejęciem systemu.
Wydarzenie to jest też świetną lekcją dla całej branży AI. Budujemy coraz potężniejsze narzędzia, które integrują się z naszymi systemami. Te integracje otwierają nowe możliwości, ale też tworzą nowe powierzchnie ataku. Serwer MCP miał być bezpiecznym pośrednikiem, a przez błędy w implementacji sam stał się słabym ogniwem. Anthropic, jako firma odpowiedzialna za jedne z najpopularniejszych modeli językowych, powinna być wzorem w kwestiach bezpieczeństwa. Cieszy, że zareagowali szybko, ale pytanie brzmi: jak takie podstawowe błędy w ogóle przeszły przez procesy rozwojowe?
Podsumowując, sprawa jest już załatana, ale pozostaje ważnym ostrzeżeniem. Im bardziej złożone i zintegrowane stają się nasze narzędzia AI, tym bardziej musimy zwracać uwagę na ich bezpieczeństwo. A my, użytkownicy, powinniśmy zawsze trzymać rękę na pulsie i aktualizować oprogramowanie, zwłaszcza gdy pojawiają się komunikaty o krytycznych lukach. Bo w świecie cyberbezpieczeństwa, jeden zasypany otwór często prowadzi do odkrycia następnego.
Źródła
- https://sekurak.pl/powazne-luki-bezpieczenstwa-w-serwerze-mcp-od-anthropic-prowadza-do-rce/
- https://www.facebook.com/sekurak/posts/-powa%C5%BCne-luki-bezpiecze%C5%84stwa-w-serwerze-mcp-od-anthropic-badacze-z-cyata-wykryli/1335201485309573/
- https://securitybeztabu.pl/krytyczne-luki-w-serwerach-mcp-ssrf-rce-i-ryzyko-przejec-chmury-w-ekosystemie-agentow-ai-microsoft-anthropic/
Dodaj komentarz