كشف باحثون في مجال الأمن السيبراني عن ثغرة خطيرة في مشروع MCP Inspector التابع لشركة الذكاء الاصطناعي Anthropic، ما قد يؤدي إلى تنفيذ أوامر عن بُعد (RCE) ومنح المهاجمين سيطرة كاملة على الأجهزة المُصابة.
تحمل هذه الثغرة المعرف CVE-2025-49596، وقد حصلت على تقييم خطورة 9.4 من 10 وفقًا لمقياس CVSS.
استغلال عبر المتصفح: خطر غير مسبوق على أدوات مطوري الذكاء الاصطناعي
قال الباحث أفي لوميليسكي من شركة Oligo Security في تقرير حديث:
“إنها من أوائل الثغرات الحرجة التي تستهدف بيئة MCP الخاصة بشركة Anthropic، وتكشف فئة جديدة من الهجمات عبر المتصفح على أدوات المطورين.”
تشير نتائج التقرير إلى أن المهاجمين يمكنهم:
-
سرقة بيانات حساسة
-
زرع أبواب خلفية
-
التحرك داخل الشبكات المؤسسية
مما يعرّض فرق الذكاء الاصطناعي، والمشاريع مفتوحة المصدر، والمؤسسات للخطر.
ما هو MCP Inspector؟
MCP (Model Context Protocol) هو بروتوكول مفتوح أعلنته Anthropic في نوفمبر 2024، ويهدف إلى توحيد طريقة تفاعل نماذج اللغة الكبيرة (LLMs) مع الأدوات والبيانات الخارجية.
أداة MCP Inspector هي أداة تطوير لاختبار هذه البروتوكولات، وتتكون من:
-
واجهة مستخدم تفاعلية (Client)
-
خادم وسيط (Proxy Server) يعمل كحلقة وصل بين المتصفح وخوادم MCP.
لكن المشكلة أن الخادم يمتلك صلاحيات خطيرة مثل:
-
تشغيل أوامر محلية
-
الاتصال بأي خادم MCP خارجي
وقد تبين أن الإعدادات الافتراضية للأداة غير آمنة إطلاقًا، حيث تفتقر إلى:
-
المصادقة (Authentication)
-
التشفير (Encryption)
ما يسمح لأي شخص على نفس الشبكة أو حتى من الإنترنت العام باستغلالها عن بُعد.
سيناريو الهجوم: استغلال ثغرة 0.0.0.0 Day
تم تنفيذ الهجوم من خلال:
-
ثغرة متصفح قديمة تُعرف باسم 0.0.0.0 Day (موجودة منذ 19 عامًا).
-
ثغرة CSRF داخل MCP Inspector (CVE-2025-49596).
حيث يقوم المهاجم بإنشاء موقع إلكتروني خبيث يحتوي على شيفرة JavaScript ترسل طلبًا إلى العنوان:
وهو المنفذ الافتراضي للأداة.
بسبب أن عنوان 0.0.0.0 يُتيح الاستماع على جميع عناوين الجهاز بما فيها localhost (127.0.0.1)، يمكن تنفيذ الأوامر حتى لو كانت الأداة تعمل محليًا فقط.
ويمكن للمهاجم استخدام تقنيات إعادة ربط DNS (DNS Rebinding) لتجاوز الحماية وفتح باب خلفي على الجهاز.
التحديث الأمني والإصلاح
تم الإبلاغ عن الثغرة في أبريل 2025، وتم إطلاق الإصلاح بتاريخ 13 يونيو 2025 في النسخة 0.14.1 من MCP Inspector.
شملت الإصلاحات:
-
إضافة رمز جلسة (Session Token) للخادم الوسيط.
-
تفعيل التحقق من أصل الطلب (Origin Verification).
-
حظر هجمات CSRF وDNS Rebinding افتراضيًا.
قال الباحثون:
“الخدمات المحلية قد تبدو آمنة، لكنها غالبًا ما تكون معرضة للعالم الخارجي بسبب خصائص التوجيه في المتصفحات وعملاء MCP.”
التوصيات الأمنية:
-
تحديث MCP Inspector فورًا إلى الإصدار 0.14.1 أو أحدث.
-
تجنب استخدام الإعدادات الافتراضية في بيئة الإنتاج.
-
تفعيل المصادقة وتحديد مصادر الوصول (CORS).
-
التأكد من عدم تشغيل الخوادم على عنوان 0.0.0.0 ما لم يكن ذلك ضروريًا.
-
مراجعة إعدادات الجدار الناري لحماية الخدمات المحلية.
المصدر:- The Hacker News
