Hai lỗ hổng mới được công bố trong Filesystem Model Context Protocol (MCP) Server của Anthropic—CVE-2025-53110 và CVE-2025-53109—đã phơi bày các môi trường được hỗ trợ bởi AI trước những rủi ro nghiêm trọng, bao gồm thoát khỏi sandbox, truy cập tệp trái phép và thực thi mã tùy ý. Những lỗ hổng này, được khám phá bởi Cymulate Research Labs, cho thấy những thách thức bảo mật cấp bách khi việc triển khai MCP đang tăng tốc trong các hệ sinh thái doanh nghiệp và nhà phát triển.
Tổng quan về Filesystem MCP Server của Anthropic
Anthropic Model Context Protocol (MCP) đang nhanh chóng trở thành tiêu chuẩn cho phép các máy khách của mô hình ngôn ngữ lớn (LLM), chẳng hạn như Claude Desktop, tương tác với dữ liệu và công cụ bên ngoài. Filesystem MCP Server, một triển khai dựa trên Node.js, được thiết kế để hạn chế các hoạt động tệp chỉ trong một tập hợp các “thư mục được phép” (allowed directories). Về lý thuyết, điều này giúp giữ quyền truy cập của AI được sandboxed một cách an toàn, ngăn chặn các hoạt động vượt ra ngoài phạm vi đã định.
Tuy nhiên, các phát hiện gần đây đã chỉ ra rằng cơ chế bảo mật này có thể bị phá vỡ, dẫn đến các kịch bản tấn công tiềm ẩn với hậu quả nghiêm trọng đối với tính toàn vẹn và bảo mật của dữ liệu cũng như hệ thống.
Phân tích CVE-2025-53110: Lỗi bỏ qua kiểm soát thư mục (Directory Containment Bypass)
Lỗ hổng CVE-2025-53110 xuất phát từ một thiếu sót trong quá trình kiểm tra đường dẫn của Filesystem MCP Server. Máy chủ này kiểm tra xem một đường dẫn được yêu cầu có bắt đầu bằng một tiền tố thư mục được phép hay không. Về cơ bản, cơ chế này nhằm đảm bảo rằng mọi hoạt động tệp đều nằm trong các thư mục đã được phê duyệt trước.
Cơ chế khai thác
Kẻ tấn công có thể lợi dụng lỗi logic này bằng cách tạo ra các đường dẫn được chế tạo đặc biệt. Ví dụ, một đường dẫn như /private/tmp/allow_dir_sensitive có thể vượt qua được kiểm tra tiền tố ban đầu. Mặc dù đường dẫn này có vẻ như nằm trong một thư mục “được phép” do bắt đầu bằng một chuỗi con phù hợp, thực tế nó lại trỏ ra bên ngoài ranh giới sandbox dự kiến.
Cụ thể, nếu /private/tmp/ là một phần của thư mục được cho phép hoặc đường dẫn đó được xử lý sai, kẻ tấn công có thể thêm các phần tử đường dẫn không kiểm soát sau tiền tố hợp lệ. Điều này cho phép họ truy cập vào các vị trí nằm ngoài phạm vi sandbox mà lẽ ra không được phép.
Tác động và Rủi ro
Việc bỏ qua kiểm soát thư mục cho phép kẻ tấn công thực hiện các hoạt động sau vượt ra ngoài ranh giới được chỉ định:
- Liệt kê tệp không giới hạn: Khám phá cấu trúc thư mục và các tệp quan trọng trên hệ thống.
- Đọc tệp trái phép: Truy cập và trích xuất dữ liệu nhạy cảm hoặc cấu hình hệ thống.
- Ghi tệp trái phép: Chèn hoặc sửa đổi tệp trên hệ thống, có thể dẫn đến làm hỏng dữ liệu, chèn backdoor, hoặc tạo điều kiện cho các cuộc tấn công leo thang đặc quyền khác.
Những khả năng này có thể dẫn đến rò rỉ dữ liệu nghiêm trọng và leo thang đặc quyền, gây nguy hiểm cho tính bảo mật tổng thể của môi trường AI và dữ liệu mà nó tương tác.
Phân tích CVE-2025-53109: Lỗi bỏ qua Symlink dẫn đến thực thi mã (Symlink Bypass to Code Execution)
CVE-2025-53109 là một lỗ hổng nghiêm trọng hơn, nằm trong logic phân giải symlink của máy chủ. Symlink (symbolic link) là một loại tệp đặc biệt trỏ đến một tệp hoặc thư mục khác. Việc xử lý không đúng cách các symlink có thể dẫn đến việc truy cập trái phép vào các tệp hoặc thư mục ngoài ý muốn.
Cơ chế khai thác
Kẻ tấn công có thể tạo các symlink trong một thư mục được phép (hoặc trong một thư mục đã bỏ qua tiền tố nhờ CVE-2025-53110). Các symlink này có thể trỏ đến bất kỳ vị trí nào trên hệ thống tệp, chẳng hạn như /etc/sudoers—một tệp cấu hình quan trọng kiểm soát quyền sudo trên hệ thống Unix/Linux.
Vấn đề then chốt nằm ở việc xử lý lỗi không đúng cách của máy chủ. Thay vì xác thực mục tiêu thực sự của symlink, máy chủ lại xác thực thư mục cha của symlink. Điều này có nghĩa là nếu symlink được tạo trong một thư mục hợp lệ (đã được kiểm tra ban đầu), máy chủ sẽ bỏ qua việc kiểm tra xem mục tiêu mà symlink trỏ tới có nằm trong phạm vi cho phép hay không.
Chuỗi khai thác dẫn đến thực thi mã tùy ý
Lỗ hổng này có thể được nối chuỗi để đạt được thực thi mã tùy ý. Ví dụ, bằng cách ghi đè hoặc sửa đổi các tệp hệ thống quan trọng. Một kịch bản tiềm năng là ghi các tệp macOS Launch Agent plists độc hại. Launch Agents là các chương trình được hệ điều hành macOS khởi chạy tự động khi một người dùng đăng nhập hoặc theo một lịch trình cụ thể. Nếu kẻ tấn công có thể ghi một tệp plist độc hại vào một thư mục được Launch Agent giám sát, mã độc của chúng có thể được thực thi với quyền của người dùng sở hữu phiên đó.
Nếu Filesystem MCP Server đang chạy với đặc quyền nâng cao (ví dụ: với quyền root hoặc quyền quản trị), việc khai thác CVE-2025-53109 có thể dẫn đến việc xâm nhập hoàn toàn hệ thống, cung cấp cho kẻ tấn công toàn quyền kiểm soát máy chủ và dữ liệu của nó.
Tác động và Rủi ro bảo mật
Việc kết hợp hai lỗ hổng này trong Filesystem MCP Server của Anthropic tạo ra một bức tranh rủi ro đáng báo động. Khả năng thoát khỏi sandbox, truy cập và sửa đổi tệp tùy ý, cùng với tiềm năng thực thi mã từ xa, đặt ra mối đe dọa nghiêm trọng đối với tính bảo mật của các môi trường AI sử dụng MCP.
Các rủi ro chính bao gồm:
- Rò rỉ dữ liệu nhạy cảm: Truy cập trái phép vào các mô hình AI, dữ liệu đào tạo, hoặc dữ liệu khách hàng được xử lý bởi các ứng dụng LLM.
- Sửa đổi hệ thống trái phép: Thay đổi cấu hình quan trọng, tiêm mã độc vào hệ thống, hoặc tạo tài khoản người dùng độc hại.
- Leo thang đặc quyền: Từ quyền truy cập hạn chế, kẻ tấn công có thể leo lên thành quyền truy cập cấp cao nhất (root/administrator) trên hệ thống.
- Thực thi mã từ xa: Khả năng chạy bất kỳ lệnh nào trên máy chủ, dẫn đến kiểm soát hoàn toàn hệ thống.
- Tấn công chuỗi cung ứng: Nếu server bị xâm nhập, nó có thể được sử dụng làm điểm khởi đầu cho các cuộc tấn công sâu hơn vào hệ sinh thái liên quan đến LLM và các dịch vụ tích hợp.
Trong bối cảnh hệ sinh thái MCP đang mở rộng nhanh chóng, những lỗ hổng này nhấn mạnh sự cần thiết phải có các đánh giá bảo mật mạnh mẽ và việc áp dụng các bản vá một cách nhanh chóng để bảo vệ các môi trường nhạy cảm khỏi các mối đe dọa mới do AI điều khiển.
Các hành động khuyến nghị
Để giảm thiểu rủi ro từ CVE-2025-53110 và CVE-2025-53109, các tổ chức và nhà phát triển sử dụng Filesystem MCP Server của Anthropic cần thực hiện các hành động sau:
- Cập nhật phần mềm: Áp dụng ngay lập tức các bản vá và cập nhật bảo mật do Anthropic cung cấp. Đây là biện pháp quan trọng nhất để khắc phục các lỗ hổng đã biết.
- Đánh giá kiến trúc: Thực hiện đánh giá chuyên sâu về kiến trúc bảo mật của các triển khai MCP, đặc biệt là cách server xử lý đường dẫn tệp và symlink.
- Nguyên tắc đặc quyền tối thiểu: Đảm bảo Filesystem MCP Server chạy với các đặc quyền thấp nhất cần thiết. Hạn chế quyền truy cập vào các tài nguyên hệ thống quan trọng để giảm thiểu tác động của việc bị xâm phạm.
- Giám sát và ghi nhật ký: Triển khai giám sát mạnh mẽ các hoạt động tệp và truy cập vào Filesystem MCP Server. Ghi nhật ký chi tiết các yêu cầu và phản hồi để phát hiện các hoạt động bất thường hoặc nỗ lực khai thác.
- Phân đoạn mạng: Cô lập Filesystem MCP Server trong một phân đoạn mạng riêng biệt để hạn chế khả năng di chuyển ngang của kẻ tấn công nếu server bị xâm nhập.
- Kiểm tra bảo mật định kỳ: Thực hiện kiểm tra thâm nhập (penetration testing) và đánh giá lỗ hổng định kỳ để phát hiện và khắc phục các điểm yếu mới.
Việc chủ động trong các biện pháp bảo mật sẽ giúp bảo vệ các môi trường AI khỏi các rủi ro đáng kể liên quan đến những lỗ hổng này.
