Model Context Protocol est devenu la plomberie par défaut pour connecter les LLMs aux outils et aux données. Claude Desktop l'utilise, Claude Code l'utilise, Cursor et Windsurf l'utilisent, pis une longue queue de frameworks d'agent ont construit par-dessus. OX Security a largué une divulgation cette fin de semaine en argumentant que l'implémentation MCP de référence a une faille de design dans la façon dont le transport STDIO initialise les serveurs, et le rayon de souffle est inhabituellement large. Leurs chercheurs (Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok, Roni Bar) ont catalogué onze CVE à travers des bibliothèques en aval, plus le problème architectural racine dans le SDK de référence d'Anthropic pour Python, TypeScript, Java, et Rust.
Le mécanisme est direct. Quand un client MCP monte un serveur à transport STDIO, le code d'initialisation invoque une commande OS. Si la commande donne proprement un handle STDIO, le client continue. Si elle échoue, le client reçoit une erreur, mais la commande s'est quand même exécutée. OX Security distingue quatre catégories d'attaque sur cette primitive : injection de commande non authentifiée via transport STDIO, injection de commande qui contourne le durcissement existant dans les configs STDIO directes, injection de prompt zero-click qui modifie les fichiers de config MCP pour pointer vers des commandes contrôlées par l'attaquant, et attaques de marketplace où des configs STDIO cachées sont déclenchées par des requêtes réseau. L'impact en aval couvre LiteLLM, LangChain, LangFlow, Flowise, LettaAI, GPT Researcher, Agent Zero, Fay Framework, Bisheng, Langchain-Chatchat, Jaaz, Upsonic, Windsurf, et DocsGPT. Le décompte conservateur est sept mille serveurs publics et plus de cent cinquante millions de téléchargements combinés.
La moitié gouvernance de cette histoire est plus lourde que la moitié technique. Anthropic a refusé de modifier le protocole, qualifiant le comportement d'« attendu ». Cette réponse transfère la responsabilité de sécurité à chaque implémenteur, ce qui est la plainte centrale d'OX Security — « transférer la responsabilité aux implémenteurs ne transfère pas le risque ; ça ne fait qu'obscurcir qui l'a créé ». Certaines bibliothèques en aval ont patché (LiteLLM, Bisheng, DocsGPT parmi elles). Beaucoup ne l'ont pas fait. Les chercheurs ont documenté qu'une exploitation réussie donne un accès direct aux données sensibles, aux bases de données internes, aux clés API, et aux historiques de chat. Le précédent établi ici est que le protocole de référence livrera des défauts non sécuritaires et que la spec ne sera pas ajustée quand les chercheurs démontrent de l'exploitation à l'échelle.
Si tu expédies ou consommes des serveurs MCP, trois choses valent la peine d'être faites cette semaine. Un, audite tes configs MCP et identifie tout ce qui utilise le transport STDIO depuis des sources marketplace ou tierces ; traite ces configs comme des entrées non fiables. Deux, vérifie si les bibliothèques en aval dont tu dépends ont patché. Les utilisateurs de LangChain, LiteLLM, Flowise, Windsurf devraient vérifier les numéros de version contre les avis de CVE. Trois, ne présume pas que les défauts du SDK de référence sont sécuritaires juste parce que ce sont des défauts. Le signal de gouvernance est clair : Anthropic traite le protocole comme une couche de base dont la sécurité est le problème de l'implémenteur. Si t'es un implémenteur en aval, construis ton propre durcissement ; l'amont ne le fera pas.