피드로 돌아가기
Anthropic won't own MCP 'design flaw' putting 200K servers at risk, researcher says
The RegisterThe Register
Security

MCP의 STDIO 전송 설계 결함으로 인한 20만 대 서버 RCE 리스크

Anthropic won't own MCP 'design flaw' putting 200K servers at risk, researcher says

Jessica Lyons2026년 4월 16일4advanced

AI 요약

Context

LLM과 외부 데이터/시스템 연결을 위한 Model Context Protocol(MCP)의 설계적 취약점 분석. AI 애플리케이션이 MCP 서버를 Subprocess로 생성하기 위해 STDIO를 Local Transport 메커니즘으로 채택한 구조적 한계 존재.

Technical Solution

  • STDIO 기반 Subprocess 생성 로직의 허점을 이용한 Arbitrary OS Command 실행 가능성 확인
  • Unauthenticated Command Injection을 통한 서버 전체 권한 탈취 및 시스템 침해 경로 확보
  • 허용 리스트(Allowlist) 기반의 Sanitization을 우회하는 Argument Injection 기법 적용
  • Prompt Injection을 통한 MCP JSON 설정 값 조작으로 Zero-click RCE 유도
  • MCP Marketplace의 검증 미비로 인한 악성 MCP 서버 배포 및 개발자 PC 침투 경로 구축
  • 프로토콜 수준의 아키텍처 변경을 통한 Default Security 확보 필요성 제기

실천 포인트

- Subprocess 실행 시 STDIO 기반의 단순 커맨드 전달 구조 지양 - Input Sanitization 시 커맨드 자체뿐 아니라 Argument 수준의 Injection 가능성 검토 - AI Agent의 설정 파일(JSON 등)이 외부 프롬프트에 의해 동적으로 수정되지 않도록 격리 - Third-party MCP 서버 도입 시 정적/동적 분석을 통한 실행 권한 검증 프로세스 구축

태그

#STDIO#Prompt Injection#RCE#Model Context Protocol#Command Injection
원문 읽기
Anthropic won't own MCP 'design flaw' putting 200K servers at risk, researcher says | Devpick