Penjelasan teknis
Peneliti OX Security menemukan bahwa Model Context Protocol's (MCP) STDIO transport—metode default untuk menghubungkan AI agent ke tools lokal—mengeksekusi setiap perintah sistem operasi yang diterimanya tanpa sanitasi. Tidak ada batasan eksekusi antara konfigurasi dan perintah. Perintah berbahaya hanya mengembalikan error setelah perintah telah dieksekusi. OX Security memindai ekosistem dan menemukan 7.000 server di IP publik dengan STDIO transport aktif, ekstrapolasi menunjukkan sekitar 200.000 total instance yang rentan. Tim penelitian mengkonfirmasi eksekusi perintah arbitrer pada enam platform produksi aktif dengan pelanggan pembayar dan menghasilkan lebih dari 10 CVE yang dinilai tinggi atau kritis di seluruh LiteLLM, LangFlow, Flowise, Windsurf, Langchain-Chatchat, Bisheng, DocsGPT, GPT Researcher, Agent Zero, LettaAI, dan lainnya.
Vektor serangan
Empat keluarga eksploitasi diidentifikasi: (1) Injeksi perintah tak terotentikasi melalui antarmuka web framework AI (ditunjukkan terhadap LangFlow dan LiteLLM); (2) Bypass pengerasan di mana OX memotong allowlist perintah melalui injeksi argumen (npx -c) dalam tools seperti Flowise dan Upsonic; (3) Injeksi prompt zero-click dalam IDE coding AI di mana HTML berbahaya memodifikasi file konfigurasi MCP lokal—Windsurf (CVE-2026-30615) memerlukan nol interaksi pengguna, sementara Cursor, Claude Code, dan Gemini-CLI memerlukan persetujuan pengguna tetapi tidak menampilkan konsekuensi eksekusi di UI; (4) Distribusi paket berbahaya melalui registry MCP, di mana OX mengisubmit proof-of-concept benign ke 11 registry dan sembilan menerimanya tanpa review keamanan. Ketidakamanan bukan merupakan bug coding melainkan default desain dalam spesifikasi MCP Anthropic yang menyebar ke setiap SDK bahasa resmi (Python, TypeScript, Java, Rust).
Sistem yang terdampak
Semua deployment MCP menggunakan STDIO transport default. Produk rentan yang dikonfirmasi mencakup: LiteLLM (sudah dipatch), LangFlow (partially dipatch), Flowise (bypass pengerasan), Windsurf (CVE-2026-30615 dipatch), Langchain-Chatchat, Bisheng, DocsGPT, GPT Researcher, Agent Zero, LettaAI, Upsonic, Cursor, Claude Code, Gemini-CLI, NextChat (ChatGPTNextWeb, CVE-2026-7644), dan setidaknya 7 server MCP GitHub penulis tunggal tambahan. Anthropic mengkonfirmasi perilaku ini adalah by design dan menolak untuk memodifikasi protokol, mengkarakterisasi model eksekusi STDIO sebagai default yang aman dengan sanitasi input sebagai tanggung jawab developer. OX Security berpendapat bahwa mengharapkan 200.000 developer untuk melakukan sanitasi input dengan benar adalah masalah sistemik. Kesenjangan kritis: setiap vendor patch memperbaiki produk mereka, tetapi tidak ada patch yang mengubah perilaku STDIO protokol MCP. Direktur keamanan yang menambal LiteLLM hari ini dan mengonfigurasi server MCP STDIO baru besok mewarisi default yang tidak aman yang sama.
Mitigasi
Segera: Perlakukan MCP STDIO sebagai permukaan eksekusi privileged, bukan connector. Terapkan kebijakan deny-by-default, allowlist perintah spesifik, deploy kontrol sandbox, dan berhenti mengasumsikan bahwa validasi input downstream akan bertahan dalam skala besar. Untuk deployment IDE (Cursor, Claude Code, Gemini-CLI, Windsurf): verifikasi bahwa vendor Anda telah menambal rantai prompt-injection-to-config-modification; periksa apakah perubahan konfigurasi menampilkan konsekuensi eksekusi di UI sebelum persetujuan pengguna. Untuk deployment framework AI (LiteLLM, LangFlow, Flowise, dll.): terapkan vendor patch segera, tetapi sadari bahwa patch memperbaiki bug spesifik produk, bukan desain protokol. Lakukan audit deployment MCP: identifikasi semua STDIO transport di lingkungan Anda, petakan akses level OS apa yang mereka miliki, terapkan least-privilege dan network segmentation. Jangka panjang: pertimbangkan migrasi ke SSE (server-sent events) transport jika memungkinkan, meskipun ini tidak didukung secara universal. Monitor submission registry MCP jika Anda mengizinkan developer menginstal server komunitas; 9 dari 11 registry menerima proof-of-concept tanpa review keamanan.