ثغرة حرجة في أداة MCP من Anthropic تُعرّض أجهزة المطورين للاختراق عن بُعد

ثغرة حرجة في أداة MCP من Anthropic تُعرّض أجهزة المطورين للاختراق عن بُعد
ثغرة حرجة في أداة MCP من Anthropic تُعرّض أجهزة المطورين للاختراق عن بُعد
شارك هذا الخبر

كشف باحثون في مجال الأمن السيبراني عن ثغرة أمنية حرجة في أداة MCP Inspector، التابعة لشركة الذكاء الاصطناعي Anthropic، قد تسمح بتنفيذ تعليمات برمجية عن بُعد (RCE) وتمكّن المهاجم من السيطرة الكاملة على أجهزة المطورين المستهدفة.

تحمل الثغرة رقم التعريف CVE-2025-49596 وتقييم خطورتها وفق مقياس CVSS هو 9.4 من 10، ما يصنفها كواحدة من أخطر الثغرات في منظومة أدوات مطوري الذكاء الاصطناعي حتى الآن.

أداة مفيدة بمخاطر خفية

أداة MCP Inspector هي جزء من بروتوكول Model Context Protocol (MCP) الذي أطلقته Anthropic في نوفمبر 2024، بهدف تسهيل تواصل تطبيقات النماذج اللغوية الكبيرة (LLMs) مع مصادر بيانات وأدوات خارجية. وتُستخدم الأداة لتجربة خوادم MCP وفحصها من خلال واجهة رسومية وجسر بروكسي يتواصل مع هذه الخوادم.

لكن بحسب تقرير صادر عن Oligo Security، فإن الإعدادات الافتراضية لهذه الأداة تفتقر إلى آليات الحماية الأساسية، مثل التحقق من الهوية والتشفير، مما يجعلها عرضة للاستغلال عبر الشبكة المحلية أو الإنترنت العام.

قال الباحث Avi Lumelsky:

“الثغرة تُبرز فئة جديدة من الهجمات عبر المتصفح ضد أدوات تطوير الذكاء الاصطناعي، ما يشكل خطرًا مباشرًا على بيانات المطورين، والمشاريع مفتوحة المصدر، والمؤسسات التي تعتمد على MCP.”

استغلال متسلسل للثغرة

يتم تنفيذ الهجوم عبر دمج ثغرتين:

  1. ثغرة قديمة تُعرف باسم “0.0.0.0 Day”، وهي خلل عمره 19 عامًا في المتصفحات الحديثة يتيح للمهاجمين الوصول إلى الخدمات المحلية على الجهاز.

  2. ثغرة CSRF في MCP Inspector (CVE-2025-49596)، تتيح تنفيذ أوامر MCP عبر واجهة البروكسي دون أي تحقق من الهوية.

بحسب التقرير، يمكن للمهاجم إعداد صفحة ويب خبيثة وجعل مطور يزورها، ما يؤدي إلى إرسال تعليمات ضارة عبر بروتوكول Server-Sent Events (SSE) إلى منفذ MCP المحلي (الافتراضي 6277)، وتشغيل أوامر على الجهاز المُستهدف حتى لو كان MCP يعمل على  (127.0.0.1).

ويكمن الخطر في أن IP يُستخدم لجعل النظام يستمع إلى جميع الواجهات الشبكية، بما في ذلك الحلقة المحلية، مما يُسهّل الوصول إلى الخادم من الخارج في حال تم استغلال التكوين الخاطئ.

إثبات واقعي للهجوم

تضمنت تجربة إثبات المفهوم (PoC) استغلال نقطة SSE في أداة MCP Inspector لإرسال تعليمات خبيثة من موقع ويب مُعدّ من قبل المهاجم. كما يمكن استغلال تقنيات إعادة ربط DNS (DNS Rebinding) لتوجيه النطاقات المزيفة  وتجاوز الحواجز الأمنية.

إجراءات التصحيح

بعد الإفصاح المسؤول عن الثغرة في أبريل 2025، قام القائمون على المشروع بإصدار النسخة 0.14.1 في 13 يونيو، والتي أغلقت الثغرة عبر:

  • إضافة رموز جلسة (Session Tokens) للتحقق من الطلبات.

  • التحقق من ترويسات HTTP (Host وOrigin) لضمان قدوم الطلب من مصدر موثوق.

  • حجب افتراضي لهجمات CSRF وDNS Rebinding.

أضافت شركة Oligo:

“رغم أن خدمات localhost قد تبدو آمنة، إلا أن خصائص التوجيه الشبكي في المتصفحات وعملاء MCP تجعلها معرضة للكشف عبر الإنترنت العام. التكوينات الافتراضية السابقة كانت تفتقر إلى آلية تفويض، ما سمح بتنفيذ أوامر ضارة عبر الطلبات غير المصرح بها.”

وسوم
محمد طاهر
محمد طاهر
المقالات: 487

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة