Anthropic’in MCP Açığının 200 Bin Sunucuyu Tehdit Ettiği Ortaya Çıktı

Yapay zeka alanındaki en kritik iletişim standartlarından biri olan Model Context Protocol (MCP), beklenmedik bir güvenlik açısından haberlere konu oldu. Anthropic tarafından geliştirilen ve Linux Foundation’a devredilen bu protokol, AI ajanları ile araçlar arasında veri aktarımını standartlaştırmayı hedefliyordu. Ancak OX Security araştırmacıları, MCP’nin varsayılan olarak kullandığı STDIO aktarımının, işletim sistemi komutlarını doğrudan çalıştırabildiğini ve bu durumun hiçbir doğrulama adımı içermediğini ortaya çıkardı.

Araştırmacılar, MCP ekosisteminde 7 bin kamu IP’sinde STDIO aktarımının aktif olduğunu tespit ederken, bu sayının toplamda 200 bine kadar çıkabileceğini tahmin ediyor. Güvenlik açığı, LiteLLM, LangFlow, Flowise ve Windsurf gibi popüler AI araçlarında da doğrulandı. IEEE Siber Güvenlik Uzmanı Kevin Curran, bu buluşun "AI altyapısının güvenliğindeki endişe verici bir boşluğu" gösterdiğini vurguladı.

Anthropic ise sorunu "tasarım gereği" olarak nitelendirerek protokolde herhangi bir değişiklik yapmayı reddetti. Şirket, STDIO’nun güvenli bir varsayılan olduğunu ve girdi doğrulamanın geliştiricilerin sorumluluğunda olduğunu belirtti. Bu yaklaşım, güvenlik uzmanları tarafından ciddi bir endişe kaynağı olarak değerlendiriliyor. OX Security, 200 bin geliştiricinin girdileri doğru şekilde doğrulamasının mümkün olmadığını savunurken, Anthropic’in alternatif önerileri ise ya protokolün çalışmasını bozmak ya da yükü bir katman aşağıya taşımak olarak özetleniyor.

Güvenlik Açığı Kimleri Etkiliyor?

MCP’nin STDIO aktarımını kullanan tüm AI ajanları ve araçlar, bu güvenlik açığından potansiyel olarak etkileniyor. OX Security dört farklı saldırı senaryosu tanımladı:

• Yetkisiz komut enjeksiyonu: LangFlow ve LiteLLM gibi framework’lerin web arayüzlerine yapılan saldırılar.
• Sertleştirme bypass’ları: Flowise ve Upsonic gibi araçlardaki komut izin listesini atlatmak için yapılan argüman enjeksiyonları.
• Sıfır tıklama komut enjeksiyonu: Windsurf gibi IDE’lerde, kullanıcı etkileşimi gerektirmeden komutların çalıştırılabilmesi.
• Kötü amaçlı paket dağıtımı: MCP kayıtlarında yer alan paketlerin güvenlik denetiminden geçmeden yayınlanabilmesi.

Carter Rees, Reputation AI ve Utah AI Komisyonu üyesi olarak, bu açığın "üst düzey bir ayrıcalıklı yürütme yüzeyi" olarak görülmesi gerektiğini belirtti. Rees, "Kurumlar MCP’yi üretim kabuğuna erişim gibi ele almalı, varsayılan olarak reddetmeli, izin listesini kullanmalı ve aşağı akış doğrulamasının ölçeklenemeyeceğini kabul etmelidir" dedi.

Tedarikçilerinizin Güvenlik Açığını Kapattığını Nasıl Anlarsınız?

Güvenlik açığının yaygınlığı nedeniyle, birçok AI aracı üreticisi sorunu gidermek için adımlar attı. Ancak bu iyileştirmeler, protokolün kendisine dokunmadığı için tam anlamıyla bir çözüm sunmuyor. Örneğin, LiteLLM yeni versiyonlarında bu açığı kapattığını duyurdu, ancak yeni STDIO konfigürasyonları yine eski varsayılanlara sahip olmaya devam ediyor. Aşağıdaki tablo, en yaygın etkilenen ürünleri ve mevcut durumlarını özetliyor:

| Ürün | Saldırı Türü | Düzeltildi mi? | Protokol Düzeltmesi? | Kalan Boşluk | Önerilen Eylem | |-----------------|----------------------------------|----------------|----------------------|-----------------------------------|--------------------------------------------------| | LiteLLM | Komut enjeksiyonu | Evet* | Hayır | Yeni konfigürasyonlar eski varsayılanları miras alıyor | v1.83.7-stable veya daha yeni versiyona geçiş | | LangFlow | RCE (Uzak Kod Yürütme) | Kısmen | Hayır | Web arayüzündeki varsayılan ayarlar | Public auto_login ve STDIO kullanımını devre dışı bırak | | Flowise | Komut enjeksiyonu | Evet | Hayır | Komut izin listesinin bypass edilmesi | Argüman enjeksiyonuna karşı ek katmanlar ekleyin | | Windsurf | Sıfır tıklama RCE | Evet | Hayır | IDE üzerindeki varsayılan davranışlar | Kullanıcı onayı gerektiren modlara geçiş yapın |

*LiteLLM’in düzeltmesi, STDIO konfigürasyonunun kendisini değil, kullanımını etkiliyor. Bu nedenle, diğer STDIO tanımlarının da ayrı bir şekilde denetlenmesi gerekiyor.

Pazartesi Sabahı Ne Yapmalısınız?

Güvenlik ekiplerinin pazartesi sabahı acilen yanıt vermesi gereken beş kritik soru bulunuyor:

1. Kurumunuz MCP kullanıyor mu?

• AI ajanlarınızın herhangi birinde STDIO aktarımının etkin olup olmadığını kontrol edin. Bu, protokolün varsayılan olarak kullanıldığı tüm SDK’larda (Python, TypeScript, Java, Rust) geçerlidir.

1. Hangi saldırı vektörleri sizi etkileyebilir?

• Web arayüzleri, IDE’ler ve kayıt sistemleri gibi farklı bileşenlerdeki güvenlik açıklarını değerlendirin. Örneğin, geliştiricilerin kullandığı IDE’lerdeki yerel konfigürasyon dosyalarının değiştirilmesi riski yüksek.

1. Tedarikçilerinizin sunduğu yamalar yeterli mi?

• Yukarıdaki tabloyu kullanarak, kullanılan ürünlerin hangi saldırı türlerine karşı korunduğunu ve hangi boşlukların kaldığını belirleyin. Unutmayın: protokolün kendisine yapılan bir düzeltme olmadığı sürece, risk tamamen ortadan kalkmıyor.

1. Ek katmanlar ekleyerek riski azaltabilirsiniz

• STDIO aktarımını devre dışı bırakarak, alternatif iletişim yöntemlerine geçiş yapın. Örneğin, yerel dosya sistemini doğrudan kullanmak yerine, sandbox’lı ortamlarda çalıştırmayı tercih edin.

1. Kullanıcı eğitimi ve izin politikalarını gözden geçirin

• Geliştiricilerinizin MCP konfigürasyon dosyalarını değiştirirken nelere dikkat etmeleri gerektiğini anlatın. Özellikle IDE’lerde yapılan otomatik değişikliklerin güvenlik risklerini vurgulayın.

Geleceğe Bakış: Güvenli AI İletişimi Nasıl Sağlanır?

Bu güvenlik açığı, AI araçlarının ve ajanlarının güvenliğini sağlamanın ne kadar karmaşık olduğunu bir kez daha gözler önüne serdi. Anthropic’in protokol tasarımındaki tercihinin, geliştiricilerin doğrulama sorumluluğunu artırması gerektiği yönündeki yaklaşımı, uzun vadede kurumların güvenlik ekiplerine büyük bir yük bindiriyor. Gelecekte, AI iletişim standartlarının varsayılan güvenlik önlemlerini içermesi ve geliştiricilerin sorumluluklarını azaltması bekleniyor. Ancak bu süreçte, kurumların kendi kontrollerini artırması ve çok katmanlı savunma stratejileri benimsemesi kritik önem taşıyor.