Serveur MCP : Cartographie de l'exposition aux CVE et API publique publiée

✍️ OpenClawRadar📅 Publié: April 3, 2026🔗 Source
Serveur MCP : Cartographie de l'exposition aux CVE et API publique publiée
Ad

Analyse de sécurité des serveurs MCP et API publique

Des chercheurs en sécurité ont analysé des milliers de serveurs MCP (Model Context Protocol) pour cartographier leurs arbres de dépendances par rapport aux CVE et aux avis de sécurité connus. Lorsque vous installez un serveur MCP, vous héritez de tout son arbre de dépendances, qui peut contenir des vulnérabilités.

Principales conclusions de l'analyse

  • Un pourcentage significatif de serveurs présente des vulnérabilités connues
  • Certains serveurs accumulent des dizaines ou 100+ CVE via leurs dépendances
  • La gravité varie considérablement - un nombre élevé de CVE ne signifie pas nécessairement un risque élevé, et un faible nombre ne garantit pas la sécurité
  • La prolifération des dépendances est courante parmi les serveurs MCP
  • Une grande partie de ces serveurs figure toujours dans les principaux répertoires MCP

Détails de l'API publique

Les chercheurs ont créé une API publique qui ne nécessite aucune clé API : https://api.mistaike.ai/api/v1/public/cve-index

Avec cette API, vous pouvez :

  • Rechercher par nom de dépôt ou nom de serveur
  • Filtrer les résultats par gravité de vulnérabilité
  • Trier par nombre de CVE ou par actualité des vulnérabilités
Ad

Mises en garde importantes

La présence d'un CVE ne signifie pas automatiquement qu'il est exploitable. Certaines vulnérabilités existent dans des chemins de code inutilisés, tandis que d'autres peuvent déjà être atténuées. Cet outil fournit une visibilité sur le risque de la chaîne d'approvisionnement plutôt que d'étiqueter les projets comme non sécurisés.

Phase suivante : Analyse du comportement d'exécution

Les chercheurs analysent maintenant ce que font réellement les serveurs MCP lors de l'exécution, y compris les appels réseau et les dépendances externes. Dans un sous-ensemble de serveurs analysés jusqu'à présent (~5%), ils ont identifié un petit nombre de comportements pouvant avoir des implications en matière de confidentialité, notamment l'utilisation apparente de caractères Unicode invisibles compatibles avec le tatouage des réponses. Ces observations sont encore en cours d'examen, et l'équipe travaille à distinguer les vrais positifs des artefacts d'analyse avant d'engager directement des discussions avec les projets.

📖 Read the full source: r/ClaudeAI

Ad

👀 See Also

Développeur Construit un Bac à Sable Firecracker MicroVM pour la Sécurité OpenClaw
Security

Développeur Construit un Bac à Sable Firecracker MicroVM pour la Sécurité OpenClaw

Un développeur préoccupé par la sécurité des LLM a construit un bac à sable bare-metal en utilisant des microVMs Firecracker pour isoler les scripts OpenClaw, chaque script s'exécutant dans son propre noyau Linux avec une limite de 128 Mo de RAM et sans réseau par défaut.

OpenClawRadar
Piratage du chiffrement de la médiation AppLovin : l'empreinte numérique des appareils contourne l'ATT
Security

Piratage du chiffrement de la médiation AppLovin : l'empreinte numérique des appareils contourne l'ATT

Le reverse engineering a révélé que le chiffrement personnalisé d'AppLovin utilise un sel constant + une clé SDK, un PRNG SplitMix64, et aucune authentification. Les requêtes déchiffrées transportent environ 50 champs sur l'appareil (modèle matériel, taille d'écran, locale, heure de démarrage, etc.) même lorsque ATT est refusé, permettant une ré-identification déterministe entre applications.

OpenClawRadar
Faux site Claude Code a diffusé un cheval de Troie — détecté par Windows Defender comme Trojan:Win32/Kepavll!rfn
Security

Faux site Claude Code a diffusé un cheval de Troie — détecté par Windows Defender comme Trojan:Win32/Kepavll!rfn

Un site de typosquatting ou basé sur des publicités imitant le site officiel de Claude Code a distribué un cheval de Troie détecté comme Trojan:Win32/Kepavll!rfn par Windows Defender. Un utilisateur de Reddit avertit les autres de vérifier les URL avant d'exécuter des commandes d'installation PowerShell.

OpenClawRadar
Analyse de sécurité des agents IA révèle un modèle de confiance brisé et des taux de vulnérabilité élevés
Security

Analyse de sécurité des agents IA révèle un modèle de confiance brisé et des taux de vulnérabilité élevés

Une analyse de sécurité des agents IA révèle que le modèle de confiance fondamental est défaillant, avec 49 % des packages MCP présentant des problèmes de sécurité et les injections indirectes atteignant des taux de réussite d'attaque de 36 à 98 % sur les modèles les plus avancés.

OpenClawRadar