OX Security ने 7,000 servers में 11 MCP STDIO vulnerabilities पाईं; Anthropic ने protocol बदलने से इनकार किया

Model Context Protocol LLMs को tools और data से जोड़ने का default plumbing बन गया है। Claude Desktop इसका इस्तेमाल करता है, Claude Code इसका इस्तेमाल करता है, Cursor और Windsurf इसका इस्तेमाल करते हैं, और agent frameworks की लंबी पूंछ ने इसके ऊपर निर्माण किया है। OX Security ने इस weekend एक disclosure गिराया यह तर्क देते हुए कि reference MCP implementation में STDIO transport servers को कैसे initialize करता है इसमें एक design-level खामी है, और blast radius असामान्य रूप से बड़ा है। उनके शोधकर्ताओं (Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok, Roni Bar) ने downstream libraries में ग्यारह CVEs सूचीबद्ध किए, साथ ही Python, TypeScript, Java, और Rust के लिए Anthropic के reference SDK में root architectural मुद्दा।

Mechanism सीधा है। जब एक MCP client एक STDIO-transport server सेट करता है, initialization code एक OS command invoke करता है। अगर command साफ़ STDIO handle देता है, client आगे बढ़ता है। अगर विफल होता है, client को error मिलता है, लेकिन command चल गया। OX Security उस primitive पर चार attack categories में अंतर करता है: STDIO transport के ज़रिए unauthenticated command injection, direct STDIO configurations में मौजूदा hardening को bypass करने वाला command injection, zero-click prompt injection जो MCP configuration files को edit करके attacker-controlled commands की ओर इंगित करता है, और marketplace attacks जहां hidden STDIO configs network requests के ज़रिए trigger होते हैं। Downstream impact में LiteLLM, LangChain, LangFlow, Flowise, LettaAI, GPT Researcher, Agent Zero, Fay Framework, Bisheng, Langchain-Chatchat, Jaaz, Upsonic, Windsurf, और DocsGPT शामिल हैं। रूढ़िवादी गणना सात हज़ार public servers और संयुक्त रूप से एक सौ पचास मिलियन से अधिक downloads है।

इस कहानी का governance आधा technical आधे से भारी है। Anthropic ने protocol बदलने से इनकार किया है, व्यवहार को "अपेक्षित" कहते हुए। वह जवाब safety responsibility हर implementer को स्थानांतरित करता है, जो OX Security की मुख्य शिकायत है — "implementers को जिम्मेदारी स्थानांतरित करने से risk स्थानांतरित नहीं होता; यह सिर्फ छुपाता है कि इसे किसने बनाया"। कुछ downstream libraries ने patch कर दिया है (LiteLLM, Bisheng, DocsGPT उनमें से)। कई ने नहीं। शोधकर्ताओं ने दस्तावेज किया कि सफल exploitation sensitive data, internal databases, API keys, और chat histories तक सीधा access देता है। यहां स्थापित नज़ीर यह है कि reference protocol असुरक्षित defaults भेजेगा और spec adjust नहीं होगी जब शोधकर्ता बड़े पैमाने पर exploitation का प्रदर्शन करें।

अगर आप MCP servers ship करते हैं या consume करते हैं, इस हफ्ते तीन चीजें करने लायक हैं। एक, अपने MCP configs का audit करें और marketplace या third-party sources से STDIO transport का उपयोग करने वाली किसी भी चीज़ की पहचान करें; उन configs को untrusted input के रूप में treat करें। दो, जांचें कि आप जिन downstream libraries पर निर्भर हैं उन्होंने patch किया है या नहीं। LangChain, LiteLLM, Flowise, Windsurf उपयोगकर्ताओं को CVE advisories के विरुद्ध version numbers सत्यापित करने चाहिए। तीन, यह मत मान लें कि reference SDK के defaults सुरक्षित हैं सिर्फ इसलिए कि वे defaults हैं। Governance signal स्पष्ट है: Anthropic protocol को एक base layer के रूप में treat कर रहा है जिसकी safety implementer की समस्या है। अगर आप downstream implementer हैं, अपना hardening बनाएं — upstream नहीं बनाएगा।