Pesquisadores da OX Security descobriram uma vulnerabilidade arquitetônica crítica no Model Context Protocol (MCP) da Anthropic. Esta falha permite a execução arbitrária de código remoto em sistemas que utilizam implementações vulneráveis do protocolo.
Surpreendentemente, a Anthropic recusou-se a corrigir o protocolo, afirmando aos pesquisadores que o comportamento era “esperado”.
Criado pela Anthropic em 2024, o MCP é um padrão aberto que permite a modelos de IA se conectar a ferramentas externas, bancos de dados e APIs. Foi doado à Linux Foundation e adotado por gigantes como OpenAI e Google.
A falha reside no tratamento da execução de processos locais através da interface de transporte STDIO do MCP. Entradas controladas pelo usuário podem fluir diretamente para a execução de comandos sem sanitização, uma escolha de design nos SDKs de referência, expondo desenvolvedores por padrão.
Os pesquisadores conseguiram comprometer 9 de 11 registros MCP de teste e confirmaram a execução de comandos em 6 plataformas de produção reais.
A pesquisa gerou pelo menos 10 CVEs classificados como de alta ou crítica severidade. LiteLLM (CVE-2026-30623) e Bisheng (CVE-2026-33224) foram corrigidos. No entanto, falhas como a do Windsurf (CVE-2026-30615), que permite execução de código local sem cliques, permanecem não corrigidas, assim como em GPT Researcher, Agent Zero, LangChain-Chatchat e DocsGPT.
Apesar das recomendações da OX Security para uma correção no nível do protocolo, a Anthropic declinou. Esta exposição ocorre ironicamente após o lançamento de Claude Mythos, um modelo focado em encontrar vulnerabilidades em softwares de outras organizações, e após um vazamento acidental do código-fonte de Claude Code.
Embora o MCP esteja sob a governança da Linux Foundation, a Anthropic ainda é responsável pela manutenção dos SDKs de referência. Até que o tratamento de STDIO seja alterado na fonte, os mantenedores do projeto precisarão implementar sua própria sanitização de entrada.