Lỗ hổng zero-day trong Anthropic’s Model Context Protocol (MCP) đang phơi bày hơn 150 triệu lượt tải trước nguy cơ bị xâm nhập. Theo phân tích từ OX Security, sự cố này có thể dẫn đến remote code execution và chiếm quyền điều khiển toàn bộ hệ thống trên tới 200.000 server.
Cảnh báo CVE trong Model Context Protocol (MCP)
Điểm đáng chú ý của cảnh báo CVE này là nó không xuất phát từ một lỗi lập trình đơn lẻ, mà từ một quyết định thiết kế mang tính kiến trúc trong các SDK MCP chính thức của Anthropic. Lỗ hổng xuất hiện trên nhiều ngôn ngữ được hỗ trợ, gồm Python, TypeScript, Java và Rust.
Vì là lỗi ở tầng nền tảng, bất kỳ nhà phát triển nào xây dựng trên MCP đều có thể vô tình kế thừa nguy cơ bảo mật từ đầu vào hệ thống. Điều này làm cho phạm vi ảnh hưởng của lỗ hổng zero-day rộng hơn nhiều so với một dự án đơn lẻ.
Cơ chế khai thác và tác động hệ thống
Theo nghiên cứu, lỗ hổng cho phép Arbitrary Command Execution (RCE) trên hệ thống đang chạy triển khai MCP dễ bị ảnh hưởng. Khi khai thác thành công, kẻ tấn công có thể truy cập trực tiếp vào:
- dữ liệu người dùng nhạy cảm
- cơ sở dữ liệu nội bộ
- API keys
- chat histories
Ở mức độ thực tế, đây là tình huống hệ thống bị xâm nhập và có thể bị kiểm soát hoàn toàn. Nói cách khác, lỗ hổng CVE này không chỉ ảnh hưởng đến tính toàn vẹn dữ liệu mà còn tác động trực tiếp đến an toàn vận hành của nền tảng.
Phạm vi ảnh hưởng của lỗ hổng CVE
OX Security xác nhận đã thực thi lệnh thành công trên 6 nền tảng production đang hoạt động, bao gồm các lỗi nghiêm trọng trong LiteLLM, LangChain và IBM LangFlow. Nghiên cứu này cũng ghi nhận ít nhất 10 CVE trải rộng trên nhiều dự án liên quan.
Một số điểm đã được vá, bao gồm CVE-2026-30623 trong LiteLLM và CVE-2026-33224 trong Bisheng. Tuy nhiên, nhiều thành phần khác vẫn ở trạng thái “reported”, gồm GPT Researcher, Agent Zero, Windsurf và DocsGPT.
Đây là một cảnh báo CVE có phạm vi lan truyền theo chuỗi cung ứng phần mềm, đặc biệt trong môi trường AI tooling và các hệ thống tích hợp MCP. Tác động của zero-day vulnerability trong trường hợp này không dừng ở một ứng dụng, mà có thể mở rộng sang nhiều dịch vụ phụ thuộc phía sau.
Các nhóm khai thác được ghi nhận
Nghiên cứu xác định 4 nhóm khai thác khác nhau. Dù nội dung công bố không kèm mã exploit chi tiết, việc phân loại này cho thấy kẻ tấn công có thể tận dụng các cấu hình MCP không an toàn ở nhiều bề mặt khác nhau.
OX Security cũng đã phát hành các cơ chế phát hiện ở cấp nền tảng để nhận diện cấu hình STDIO MCP không an toàn trong mã nguồn khách hàng và cả mã do AI sinh ra.
Khuyến nghị và trạng thái phản hồi
OX Security nhiều lần đề xuất một bản vá ở cấp protocol nhằm bảo vệ ngay lập tức hàng triệu người dùng downstream. Tuy nhiên, phản hồi được mô tả là hành vi “expected”, và phía Anthropic không phản đối việc công bố nghiên cứu.
Trong bối cảnh này, bản vá bảo mật ở cấp ứng dụng riêng lẻ có thể không đủ nếu lỗi nằm trong chính kiến trúc của MCP. Với các hệ thống đang phụ thuộc vào MCP SDK, việc rà soát cấu hình triển khai, phân quyền truy cập và kiểm tra nguy cơ remote code execution là cần thiết để giảm rủi ro bảo mật.
Tham khảo thêm: NVD – National Vulnerability Database
