Сегодня 25 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В технологии ИИ-стартапа Anthropic обнаружена критическая уязвимость

В предложенной компанией Anthropic технологии Model Context Protocol (MCP) Inspector обнаружили критическую уязвимость, позволяющую потенциальному злоумышленнику производить атаки с использованием удалённого исполнения кода на целевых устройствах.

 Источник изображения: Kevin Ku / unsplash.com

Источник изображения: Kevin Ku / unsplash.com

Компания Anthropic наиболее известна благодаря чат-боту с генеративным искусственным интеллектом Claude, но её авторству принадлежит также MCP. Это открытый стандарт, который обеспечивает безопасную двустороннюю связь между платформами ИИ и внешними источниками данных. Открытый инструмент Inspector предназначен для тестирования и отладки серверов MCP. Как стало известно, в Inspector присутствует уязвимость, которую можно использовать для кражи конфиденциальных данных, развёртывания вредоносного ПО и горизонтального перемещения по целевым сетям.

Уязвимости присвоили номер CVE-2025-49596 и критическую оценку угрозы в 9,4 балла из 10. Для эксплуатации уязвимости её необходимо использовать совместно с «0.0.0.0. Day» — уязвимостью двадцатилетней давности в браузерах, позволяющей вредоносным сайтам взламывать локальные сети. Злоумышленник создаёт вредоносный сайт, который при открытии отправляет запрос службам localhost на сервере MCP, в результате чего становится возможным выполнение произвольного кода на компьютере разработчика. Anthropic уведомили о проблеме в апреле, и 13 июня компания выпустила обновление Inspector 0.14.1, в которое добавила токен сеанса и проверку происхождения, усложнив механизм атаки.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Google DeepMind назвал переманивание Meta талантов из других компаний вполне оправданным 6 мин.
Издатель PUBG купил студию разработчиков Last Epoch, чтобы поднять игру «до новых высот» 11 мин.
Режим для двух игроков появится в Elden Ring Nightreign уже на следующей неделе — трейлер и дата выхода горячо ожидаемого обновления 2 ч.
Аудитория ИИ-поиска в Google выросла до 100 миллионов человек в месяц 2 ч.
AdGuard и браузер Brave стали блокировать функцию Microsoft Recall 2 ч.
Правозащитники массово жалуются в Еврокомиссию на Alphabet: Android не даёт удалять приложения Google 3 ч.
ФАС: блогерам не придётся удалять всю старую рекламу в запрещённых соцсетях 3 ч.
«Уделим внимание мелочам, которые отделяют хорошую игру от превосходной»: Techland отложила выход Dying Light: The Beast 4 ч.
«Яндекс» открыл корпоративным клиентам доступ к ИИ-модели Alibaba Qwen 3 — самой мощной в ассортименте 4 ч.
Совфед утвердил закон о наказании за рекламу VPN и поиск экстремистских материалов 4 ч.
Раджа Кодури присоединился к Sandisk, чтобы увеличить память в ИИ-ускорителях до 4 Тбайт 7 мин.
TeamGroup представила предназначенные для Ryzen комплекты DDR5 объёмом 256 Гбайт 20 мин.
SoftBank развернула крупнейшую в мире ИИ-платформу на базе NVIDIA DGX B200 2 ч.
По пути Маска: Crusoe заказала 29 газовых турбин для ИИ ЦОД, часть которых достанется OpenAI 2 ч.
Anthropic: к 2028 году для ИИ в США потребуется 50 ГВт электроэнергии, а для передовых ИИ-моделей — 5-ГВт ЦОД 2 ч.
ASRock представила материнскую плату B850 Challenger для недорогих игровых сборок на Ryzen 3 ч.
Asus представила свою первую Radeon с разъёмом питания 12V-2×6 — Radeon AI Pro R9700 с турбиной 3 ч.
Анонсированы бюджетные умные часы Lenovo Watch Pro с поддержкой до 20 дней работы без подзарядки 4 ч.
Asus представила 31,5-дюймовый OLED-монитор ROG Zephyrus X с режимами 4K при 165 Гц и Full HD при 330 Гц 4 ч.
Представлен компактный планшет Honor Pad X7 с 8,7-дюймовым дисплеем и батареей на 7020 мА·ч 4 ч.