Giriş
Model Bağlam Protokolü (MCP) mimarisinde keşfedilen kritik bir zafiyet, uzaktan kod yürütme (RCE) riskini artırmakta ve yapay zeka (AI) tedarik zincirinde önemli güvenlik tehditleri oluşturabilmektedir. Bu zafiyet, kullanıcı verilerine, iç veri tabanlarına ve API anahtarlarına yetkisiz erişim sağlama potansiyeline sahiptir.
Saldırı Nasıl Çalışıyor?
Bu zafiyet, MCP yapılandırmasının nasıl çalıştığı üzerindeki güvenli varsayımlar eksikliğinden kaynaklanmaktadır. Olayın temelinde, MCP’nin STDIO (standart giriş/çıkış) taşıma arayüzündeki sorunlar yer almaktadır. Olası saldırı vektörleri arasında yer alan 10 zafiyet, popüler projelerde ortaya çıkmıştır:
- CVE-2025-65720 (GPT Researcher)
- CVE-2026-30623 (LiteLLM) – Güncellendi
- CVE-2026-30624 (Agent Zero)
- CVE-2026-30618 (Fay Framework)
- CVE-2026-33224 (Bisheng) – Güncellendi
- CVE-2026-30617 (Langchain-Chatchat)
- CVE-2026-33224 (Jaaz)
- CVE-2026-30625 (Upsonic)
- CVE-2026-30615 (Windsurf)
- CVE-2026-26015 (DocsGPT) – Güncellendi
- CVE-2026-40933 (Flowise)
Bu zafiyetler, uzaktan komut yürütme işlemlerine olanak sağlayan dört ana kategoride sınıflandırılmaktadır:
- Yetkisiz ve yetkili komut enjeksiyonu MCP STDIO üzerinden
- Yetkisiz komut enjeksiyonu doğrudan STDIO yapılandırmasıyla sertleştirme geçişi ile
- Sıfır tıklama istemi enjeksiyonu aracılığıyla MCP yapılandırma düzenlemesi ile yetkisiz komut enjeksiyonu
- Ağ istekleri aracılığıyla MCP pazar yerlerinden gelen yetkisiz komut enjeksiyonu, gizli STDIO yapılandırmalarını tetikleme
Etkilenen Sistemler
Anthropic’in resmi MCP yazılım geliştirme kiti (SDK) etkilenmekte ve Python, TypeScript, Java ve Rust gibi desteklenen dillerde kullanılmaktadır. Şu anda, 7,000’den fazla kamuya açık sunucu ve yazılım paketi ile 150 milyondan fazla indirme bu zafiyetten etkilenmektedir.
Çözüm ve Korunma
Araştırmalar, bu zafiyetin mimarisel bir karar sonucunda tüm dillerde ve projelerde gizlice yayıldığına dikkat çekmektedir. Sorunun çözülmesi için önerilen önlemler şunlardır:
- Hassas hizmetlere kamu IP erişimini kapatın.
- MCP araç çağrılarını izleyin.
- MCP etkin hizmetleri bir sandbox içinde çalıştırın.
- Dış MCP yapılandırma girdi verilerini güvenilir olarak değerlendirin.
- Sadece doğrulanmış kaynaklardan MCP sunucuları kurun.
Sonuç
Güvenlik açığı, sadece bir CVE değil, aynı zamanda geniş çapta bir tedarik zinciri olayıdır. Bu nedenle, sistem yöneticileri ve geliştiricilerin bu zafiyeti ortadan kaldırmak için derhal güncellemeleri uygulamaları ve yukarıda belirtilen güvenlik önlemlerini almaları gerekmektedir. Unutmayın, bu tür zafiyetler kullanıcı verileri ve sistem güvenliği için ciddi tehditler oluşturabilir.
