Протокол контекста модели Anthropic (MCP) стал широко распространенным стандартом для связи между инструментами ИИ, при этом транспорт STDIO по умолчанию имел критический недостаток безопасности. Эта уязвимость позволяет выполнять произвольные команды операционной системы без очистки, что приводит к уязвимостям внедрения команд. Исследователи из OX Security обнаружили это и выявили тысячи уязвимых серверов, а также успешные случаи эксплуатации в производственных средах. Проблема заключается в дизайне протокола, который Anthropic считает безопасным по умолчанию, считая очистку ввода ответственностью разработчиков. OX Security и другие эксперты утверждают, что такой подход создает широко распространенный риск безопасности, поскольку многие фреймворки и инструменты ИИ уязвимы. Хотя некоторые поставщики внедрили исправления для устранения конкретных точек входа, эти исправления не решают проблему самого протокола. В статье представлены подробные рекомендации по выявлению уязвимых развертываний, исправлению продуктов и снижению рисков. Подчеркивается необходимость рассматривать все конфигурации MCP STDIO как недоверенные, рекомендуя песочницы, аудит реестра и другие меры безопасности. В конечном итоге, в статье рекомендуется не ждать исправления на уровне протокола, поскольку небезопасный вариант по умолчанию остается. В статье подчеркивается, что среда разработчика уязвима, особенно IDE, к которым может получить доступ злоумышленник.