Аудит безопасности выявил уязвимости в эталонных серверах MCP компании Anthropic, которые создают риски, связанные с генерацией ложных данных.
Результаты аудита безопасности серверов MCP
Комплексный аудит безопасности 100 пакетов серверов Model Context Protocol (MCP) выявил серьёзные проблемы с безопасностью. Аудит показал, что 71% серверов получили оценку F, причём ни один сервер не получил оценку A. Это касается и собственных референсных реализаций Anthropic, которые часто считаются «золотым стандартом».
Уязвимости на основе Галлюцинаций (HBVs)
Аудит выявил новый класс уязвимостей под названием Уязвимости на основе Галлюцинаций. Когда инструменты MCP имеют расплывчатые описания (например, «управляет файлами»), Claude вынужден угадывать параметры. Это создаёт как уязвимости безопасности, так и тратит токены, поскольку Claude входит в «циклы рассуждений», пытаясь определить границы инструментов, расходуя контекстные окна и лимиты сообщений.
Конкретные находки
- Ловушка референсов: Официальные серверы для GitHub и файловых систем — те, которые рекомендует Anthropic — получили 0/100 по базовым тестам безопасности. Эти серверы допускают «неограниченные» входные данные, что означает, что промптовые агенты могут быть обмануты для удаления или извлечения данных из-за отсутствия внутренних защитных механизмов.
- Риски класса RCE: Аудит выявил структурные предпосылки для уязвимостей RCE, аналогичных CVE-2025-68143, которые ранее затрагивали экосистему.
- Ограничения аутентификации: Даже при настройке OAuth плохо определённые инструменты остаются уязвимыми. Изощрённые промпты могут превратить Claude в инструмент для случайного или преднамеренного уничтожения данных.
Рекомендации по защите
- Проведите аудит своих серверов: Не доверяйте серверам только потому, что они находятся в официальном репозитории Anthropic.
- Усильте свои манифесты: Убедитесь, что каждый инструмент имеет
minLength,maxLengthи строгийpatternregex в своей JSON-схеме. - Запустите сканер: Используйте инструмент аудита с открытым исходным кодом:
npx @agentsid/scanner
Ключевой вывод
Агентные настройки, вероятно, «уязвимы по умолчанию», потому что официальные шаблоны ставят гибкость выше безопасности. Правильное усиление определений инструментов может как защитить данные, так и снизить потребление токенов, предотвращая ненужные циклы рассуждений.
Полная белая книга и методология доступны по адресу: https://github.com/stevenkozeniesky02/agentsid-scanner/blob/master/docs/state-of-agent-security-2026.md
📖 Read the full source: r/ClaudeAI
👀 Смотрите также
Три вектора атаки через электронную почту против ИИ-агентов, читающих письма
В посте на Reddit описаны три конкретных метода, которые злоумышленники могут использовать для захвата ИИ-агентов, обрабатывающих электронную почту: Подмена инструкций, Экфильтрация данных и Скрытая передача токенов. Эти методы используют неспособность агента отличить законные инструкции от вредоносных, встроенных в текст письма.
Агент Hush: Инструмент с открытым исходным кодом предотвращает утечку конфиденциальных данных AI-агентами для написания кода
Agent Hush — это инструмент с открытым исходным кодом, который перехватывает конфиденциальные данные до того, как они покинут ваше устройство. Он был создан после того, как AI-агент разработчика случайно опубликовал API-ключи, IP-адреса серверов и личную информацию в публичном репозитории GitHub во время работы над проектом по безопасности.
Claude Code CVE-2026-39861: Побег из изолированной среды через симлинк
Уязвимость высокой степени серьезности в песочнице Claude Code позволяет произвольную запись файлов за пределы рабочей области через симлинки, что может привести к выполнению кода.
Статический анализ 48 приложений, сгенерированных ИИ: 90% имели уязвимости в безопасности
Разработчик проверил 48 публичных GitHub-репозиториев, созданных с помощью Lovable, Bolt и Replit. 90% из них имели хотя бы одну уязвимость. Распространенные проблемы: пробелы в аутентификации (44%), функции Postgres SECURITY DEFINER (33%), BOLA/IDOR (25%) и закоммиченные секреты (25%).