Сегодня 26 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В технологии ИИ-стартапа Anthropic обнаружена критическая уязвимость

В предложенной компанией Anthropic технологии Model Context Protocol (MCP) Inspector обнаружили критическую уязвимость, позволяющую потенциальному злоумышленнику производить атаки с использованием удалённого исполнения кода на целевых устройствах.

 Источник изображения: Kevin Ku / unsplash.com

Источник изображения: Kevin Ku / unsplash.com

Компания Anthropic наиболее известна благодаря чат-боту с генеративным искусственным интеллектом Claude, но её авторству принадлежит также MCP. Это открытый стандарт, который обеспечивает безопасную двустороннюю связь между платформами ИИ и внешними источниками данных. Открытый инструмент Inspector предназначен для тестирования и отладки серверов MCP. Как стало известно, в Inspector присутствует уязвимость, которую можно использовать для кражи конфиденциальных данных, развёртывания вредоносного ПО и горизонтального перемещения по целевым сетям.

Уязвимости присвоили номер CVE-2025-49596 и критическую оценку угрозы в 9,4 балла из 10. Для эксплуатации уязвимости её необходимо использовать совместно с «0.0.0.0. Day» — уязвимостью двадцатилетней давности в браузерах, позволяющей вредоносным сайтам взламывать локальные сети. Злоумышленник создаёт вредоносный сайт, который при открытии отправляет запрос службам localhost на сервере MCP, в результате чего становится возможным выполнение произвольного кода на компьютере разработчика. Anthropic уведомили о проблеме в апреле, и 13 июня компания выпустила обновление Inspector 0.14.1, в которое добавила токен сеанса и проверку происхождения, усложнив механизм атаки.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
В Steam скоро можно будет попробовать Valor Mortis — гибрид Dark Souls и BioShock от создателей Ghostrunner 2 мин.
Перевод на русский, новая концовка и попутчики: ностальгическое дорожное приключение Keep Driving получило крупное обновление 2 ч.
Футбольная аркада Rematch от разработчиков Sifu стала временно бесплатной, но только в Steam 3 ч.
Геймплейный трейлер раскрыл дату релиза Possessor(s) — стильного боевика от авторов Hyper Light Drifter 4 ч.
Семь из десяти российских компаний не окупили инвестиции в ИИ 4 ч.
Meta запустила в Великобритании рекламную модель, которую ЕС признал незаконной 4 ч.
Хакеры взломали сотни сетевых устройств Cisco в правительстве США 4 ч.
Российский карточный боевик «Бессмертный. Сказки Старой Руси» взял курс на консоли — дата выхода и новый трейлер 5 ч.
Энтузиаст создал эмулятор первой PlayStation для Telegram — работает на «любых современных» смартфонах 8 ч.
Meta захотела улучшить свои приложения с помощью ИИ-технологий конкурирующей Google 8 ч.
Xiaomi готовит новый процессор XRing для смартфонов, но за Apple гоняться пока не намерена 2 ч.
Qualcomm поделилась подробностями о процессоре Snapdragon 8 Gen 5 для доступных флагманов 3 ч.
Грядёт подорожание электроники — авария на крупном руднике взвинтила цены на медь 4 ч.
iPhone Air оказался почти никому не нужен в России 4 ч.
Fluidstack и Google «склонили» к ИИ ещё одного криптомайнера — Cipher Mining сдаст им ЦОД 5 ч.
Представлен быстрый роутер Xiaomi BE10000 Pro с Wi-Fi 7, функцией NAS и минималистичным дизайном за $240 6 ч.
Xiaomi представила компактную портативную колонку Portable Bluetooth Speaker с элегантным дизайном 6 ч.
Лишь около 10 % российских компаний использует серверы с отечественными процессорами 7 ч.
Китай сделал шаг к солнечным панелям с напряжением 2000 В — это поможет снизить потери при передаче энергии 7 ч.
Руководить производством чипов TSMC в США поручено ветерану отрасли с опытом освоения 4-нм техпроцесса 7 ч.