From MCP to shell: MCP auth flaws enable RCE in Claude Code, Gemini CLI and more

Уязвимости в реализации аутентификации OAuth в клиентах MCP позволяют удалённое выполнение кода через популярные инструменты вроде Claude Code и Gemini CLI. Злоумышленник может создать вредоносный MCP-сервер, который передаёт клиенту поддельный URL авторизации — при его открытии происходит выполнение произвольного кода на машине пользователя.

Эксплуатация возможна из-за отсутствия проверки URL со стороны клиентов. Уязвимы Cloudflare use-mcp, MCP Inspector и другие реализации. В демонстрации показан запуск калькулятора через Claude Code, но атака может быть расширена до установки бекдоров или вредоносного ПО. Индустрия уже реагирует на обнаруженные уязвимости, внедряя исправления.

Комментарии (36)

Аналогия MCP-серверов с пакетами (pip/npm), а не с безопасными веб-сайтами; ключевой вопрос — доверие источнику кода, а не самому протоколу.
Критика безопасности реализации MCP в клиентах (Claude Code/Gemini), приведшей к уязвимостям, но признание оперативного исправления Google.
Споры о фундаментальной уязвимости MCP к инъекциям через инструменты и невозможности полной защиты от prompt-инъекций.
Дебаты о необходимости и качестве протокола: одни видят в нём прорывную технологию, другие — небезопасный и избыточный уровень абстракции.
Акцент на важности доверенных источников (supply chain) и качества кода MCP-серверов, а не на отказе от технологии в целом.