何が起きたか
Claude Code および Codex 用のエージェント メタ ハーネスである Ruflo は、MCP ブリッジの POST /mcp および POST /mcp/:group エンドポイントを認証なしで公開したデフォルト docker-compose デプロイをシップしました。認証されていないネットワーク攻撃者は、terminal_execute に対するツール/呼び出しを呼び出して、ブリッジ コンテナ内で任意の OS コマンドを実行し、API キーの盗難、エージェント ラーニング ストア (AgentDB) の中毒、および横方向のネットワーク移動を可能にすることができました。v3.16.3 で修正されており、ブリッジをデフォルトで 127.0.0.1 にバインドし、公開バインディングには MCP_AUTH_TOKEN が必要であり、定時比較を伴うベアラー認証を追加し、terminal 実行を MCP_ENABLE_TERMINAL=true の背後に配置し、ブリッジ ファイルシステムを読み取り専用にし、MongoDB 認証が必要です。
なぜ重要か
これは、最大重大度 (CVSS 10.0) の認証なしリモート コード実行脆弱性で、最も人気のある 2 つのコーディング エージェント エコシステム (Claude Code、Codex/OpenAI) を橋渡しする広く参照されているエージェント メタ ハーネスです。デフォルトのデプロイ構成が公開されていたため、公開されたインスタンスは完全なコンテナ侵害、認証情報の盗難、およびエージェント メモリの中毒のために簡単に悪用できました。
攻撃経路
terminal_execute ツールを呼び出して任意の OS コマンドを実行する公開された /mcp または /mcp/:group MCP ブリッジ エンドポイントへの認証なし POST リクエスト
影響を受けるシステム
Ruflo (Claude Code/Codex 用のエージェント メタ ハーネス) < 3.16.3
緩和策
Ruflo ≥3.16.3 にアップグレードします。MCP ブリッジをローカルホストにバインドします。MCP_AUTH_TOKEN および MCP_ENABLE_TERMINAL を必要な場合のみ設定します。MongoDB 認証を有効にします。