L’integrazione massiva del Model Context Protocol (MCP), lo standard aperto introdotto da Anthropic per connettere modelli linguistici a sorgenti dati esterne, ha rivelato una fragilità strutturale che ridefinisce il concetto di rischio nella supply chain del software orientato all’intelligenza artificiale. L’audit condotto dai ricercatori di OX Security ha identificato un difetto fondamentale nel meccanismo di trasporto basato su Standard Input/Output (STDIO), il quale espone oltre 200.000 server di agenti IA a potenziali esecuzioni di comandi arbitrari. Questa problematica non risiede in un errore di sintassi o in un bug transitorio del codice, ma in una scelta progettuale consapevole radicata negli SDK ufficiali di Anthropic per Python, TypeScript, Java e Rust.
Il nucleo della vulnerabilità risiede nel modo in cui l’interfaccia STDIO di MCP gestisce l’avvio dei processi del server locale. In un’architettura MCP standard, l’host (come un IDE o un framework di agenti) comunica con i server MCP utilizzando lo streaming dei dati attraverso canali di input e output standard. La ricerca ha dimostrato che il protocollo tenta di eseguire i comandi di configurazione del server senza una sanificazione preventiva dei parametri. In termini tecnici, se un utente malintenzionato riesce a iniettare stringhe di comando in un file di configurazione o in un input che viene poi passato all’adattatore STDIO, il sistema operativo esegue tali istruzioni indipendentemente dal successo dell’avvio del processo server previsto. L’assenza di un meccanismo di sandboxing a livello di protocollo e la mancanza di avvisi di sanificazione nella catena di strumenti di sviluppo permettono l’esecuzione silenziosa di payload malevoli.
L’impatto di questa falla si estende attraverso un ecosistema che conta oltre 150 milioni di download e coinvolge piattaforme critiche per lo sviluppo e l’automazione. Tra i progetti identificati come vulnerabili figurano LiteLLM, LangFlow, Flowise, Windsurf, Langchain-Chatchat e molti altri. In diversi test condotti su piattaforme di produzione live con clienti paganti, i ricercatori sono stati in grado di confermare l’esecuzione di comandi remoti (RCE), ottenendo accesso non autorizzato a database interni, chiavi API, cronologie di chat e dati sensibili degli utenti. La natura “by design” di questa funzionalità significa che ogni sviluppatore che costruisce soluzioni sopra le fondamenta di MCP eredita automaticamente questa superficie di attacco, spesso senza rendersene conto, poiché il comportamento è considerato dal protocollo come un’operazione standard di sistema.
La risposta di Anthropic alla segnalazione ha sollevato un dibattito critico sulla responsabilità della sicurezza nell’era dell’IA agentica. L’azienda ha confermato che il modello di esecuzione STDIO rappresenta un comportamento previsto, sostenendo che la sanificazione degli input spetti interamente allo sviluppatore finale. Dal punto di vista del protocollo, Anthropic sostiene che l’implementazione di una sanificazione rigida a livello di trasporto potrebbe rompere la compatibilità o semplicemente spostare il carico di sicurezza su un altro livello dello stack tecnologico. Tuttavia, i ricercatori di OX Security sostengono che affidare la sicurezza di un’infrastruttura così vasta alla capacità di centinaia di migliaia di sviluppatori di non commettere errori di input sia una premessa architettonica pericolosa. Sebbene Anthropic abbia aggiornato la propria documentazione di sicurezza raccomandando cautela nell’uso degli adattatori STDIO, non sono state apportate modifiche strutturali per mitigare il rischio alla radice.
Per mitigare attivamente questa esposizione, le organizzazioni devono adottare una strategia di difesa in profondità che vada oltre la semplice fiducia nel protocollo. È necessario eseguire audit manuali e automatizzati sulle sorgenti di configurazione, cercando pattern vulnerabili come chiamate a subprocess, os.system o shell=True dove i parametri possono essere influenzati da input esterni. La raccomandazione tecnica per chi mantiene server MCP è di tracciare ogni argomento dello strumento fino al suo primo confine esterno (chiamate HTTP, query SQL, percorsi di file) e assicurarsi che tali confini validino o escludano rigorosamente l’input. Fino a quando non verrà introdotto un sistema di sandboxing nativo o un meccanismo di opt-in esplicito per le modalità “pericolose”, la vulnerabilità STDIO rimarrà una minaccia latente in una delle supply chain software più critiche del panorama tecnologico attuale.