Yapay Zeka Güvenlik Açığı: Anthropic MCP Modülü Tehlikede
Gelişen teknolojiyle birlikte yapay zeka sistemleri de önemli bir yer edinmeye başladı. Ancak, bu sistemlerin güvenliği, geliştiriciler ve kullanıcılar için büyük bir sorun teşkil etmektedir. Son zamanlarda, yapay zeka şirketi Anthropic’in Model Context Protocol (MCP) projesinde kritik bir güvenlik açığı tespit edildi. Bu açık, uzaktan kod yürütmesine (RCE) olanak tanıyor ve kötü niyetli bir saldırganın, hedef makinelerine tamamen erişmesine olanak sağlıyor.
CVE-2025-49596 Güvenlik Açığı ve Ciddiyeti
Söz konusu güvenlik açığı, CVE-2025-49596 olarak izleniyor ve 10 üzerinden 9.4 gibi oldukça yüksek bir CVSS puanına sahip. Bu durum, güvenlik araştırmacıları tarafından son derece ciddi bir risk olarak değerlendiriliyor. Oligo Security’den Avi Lumelsky‘nin belirttiği gibi, "Bu, Anthropic’in MCP ekosistemindeki ilk kritik RCE’lerden biri olup, AI geliştirici araçlarına karşı yeni bir tarayıcı tabanlı saldırı sınıfını açığa çıkarıyor."
Geliştiricilerin makinelerindeki kod yürütme imkanı, veri çalmaktan, arka kapılar kurmaya ve ağlarda yan hareket etmeye kadar pek çok kötü sonuç doğurabilir. Bu durum, hem AI ekipleri hem de açık kaynak projeleri için ciddi tehditler oluşturuyor.
MCP ve Inspector Araçları
MCP, Anthropic tarafından Kasım 2024’te tanıtılan bir açık protokol olup, büyük dil modeli (LLM) uygulamalarının dış veri kaynakları ve araçlarla veri paylaşımını standart hale getiriyor. MCP Inspector, MCP sunucularını test eden ve hata ayıklayan bir araçtır. Bu araç, protokol üzerinden belirli özellikleri sunan MCP sunucuları ile etkileşim sağlamaktadır.
MCP Inspector, iki ana bileşenden oluşuyor: Birincisi, test ve hata ayıklama için etkileşimli bir arayüz sunan istemci; ikincisi ise web arayüzünü farklı MCP sunucularına bağlayan bir proxy sunucu. Fakat buradaki en önemli güvenlik dikkate alınması gereken nokta, sunucunun güvenilir olmayan bir ağa maruz bırakılmaması gerektiğidir.
Güvenlik Açıklarının Çeşitleri
Güvenlik açığı durumu, geliştiricilerin varsayılan ayarlarla yerel bir sürüm çalıştırmalarıyla birleştiğinde büyük bir risk oluşturuyor. Lumelsky, "Bu yanlış yapılandırma, büyük bir saldırı yüzeyi oluşturuyor; çünkü yerel ağa veya kamu internetine erişimi olan herkes bu sunucularla etkileşimde bulunabilir ve bunları istismar edebilir," diyor.
Saldırı, modern web tarayıcılarında bilinen bir güvenlik açığı ile, MCP Inspector’daki Cross-Site Request Forgery (CSRF) açığını birleştirerek, kötü niyetli bir web sitesini ziyaret etmek suretiyle ana makinada rastgele kod çalıştırılmasını sağlamaktadır.
0.0.0.0 Day Açığı ve Potansiyel Tehditler
0.0.0.0 Day olarak adlandırılan bu açık, modern web tarayıcılarında 19 yıldır var olan bir güvenlik açığıdır. Bu açık, kötü niyetli web sitelerinin yerel ağları ihlal etmesine olanak tanımaktadır. Tarayıcıların IP adresi 0.0.0.0’ı güvenli bir şekilde işleyememesi bu açığın temel nedenidir.
Saldırganlar, bir kötü niyetli web sayfası oluşturup, geliştiricinin bu sayfayı ziyaret etmesini sağladıklarında, bu durumda yerel ağdaki servislere yönelik istekler göndererek ana makinede rastgele komutlar çalıştırma yeteneğine sahip oluyorlar. Bu nedenle, geliştiricilerin varsayılan yapılandırmalarını güvenlik tehditlerine karşı dikkatli bir şekilde değerlendirmeleri gerekiyor.
Müdahale ve Düzeltmeler
Nisan 2025‘te sorumlu bildirimde bulunulmasının ardından, bu güvenlik açığı, proje geliştiricileri tarafından 13 Haziran’da 0.14.1 sürümünün piyasaya sürülmesiyle giderildi. Yapılan düzeltmeler, proxy sunucusuna bir oturum belirteci ekleyerek ve kök doğrulamasını sağlamlaştırarak bu saldırı vektörünü tamamen kapatmaktadır.
Geliştiricilerin localhost hizmetlerinin güvenli gözükse de genellikle kamu internetine maruz kaldığına dikkat çekiliyor. Yapılan düzeltmeler, yetkilendirme ekleyerek, önceki varsayılan ayarlarda eksik olan güvenlik önlemlerini sağlıyor. Artık varsayılan olarak sunucu, DNS rebinding ve CSRF saldırılarını engelliyor.
Yapay zeka dünyasında güvenlik, her geçen gün daha da önem kazanıyor. Bunun için, yazılım geliştiricilerin bilinçli olması ve potansiyel tehditlere karşı kendilerini ve sistemlerini sürekli olarak güncellemeleri gerekmektedir. Bu tür güvenlik açıkları, yalnızca bireysel kullanıcıları değil, aynı zamanda büyük işletmeleri de tehdit eden önemli sorunlar haline gelmektedir.
