La semaine dernière, des chercheurs d'OX Security ont publié des découvertes qui devraient alerter tous les responsables de la sécurité. Ils ont découvert une vulnérabilité critique intégrée directement dans le SDK du protocole de contexte de modèle (MCP) d'Anthropic, affectant toutes les langues prises en charge : Python, TypeScript, Java et Rust. Le résultat : l'exécution de code à distance sur tout système exécutant une implémentation MCP vulnérable, avec un accès direct aux données utilisateur sensibles, aux bases de données internes, aux clés API et aux historiques de chat.
Plus de 7 000 serveurs accessibles publiquement. Plus de 150 millions de téléchargements. Dix CVE couvrant LiteLLM, LangChain, LangFlow, Flowise et d'autres.
Il ne s'agit pas d'un simple bug que quelqu'un aurait oublié de corriger. C'est une décision de conception qui s'est propagée silencieusement dans chaque bibliothèque dépendante et chaque projet qui faisait confiance au protocole. Anthropic a examiné les découvertes et a qualifié ce comportement d'« attendu ».
Réfléchissez-y et imaginez ceci :
Un développeur de votre entreprise met en place un agent basé sur LangChain et le connecte à un serveur MCP interne ayant accès à votre base de données clients. L'agent fonctionne comme prévu : il répond aux requêtes, extrait des enregistrements, fait son travail. Maintenant, un attaquant envoie une invite soigneusement élaborée via votre interface publique. Cette invite manipule la configuration MCP via ce que les chercheurs appellent une injection d'invite sans clic, redirigeant silencieusement l'interface STDIO pour exécuter une commande OS arbitraire sur le serveur. En quelques secondes, l'attaquant dispose de vos identifiants de base de données, de vos clés API internes et d'un shell actif sur la machine exécutant votre flux de travail d'agents. Aucune authentification requise. Aucune alerte déclenchée. Votre SIEM ne l'a jamais détecté car l'action s'est produite au niveau de la couche MCP, que personne ne surveillait.
Nous affirmons depuis des mois que les serveurs MCP sont la couche non surveillée la plus dangereuse de votre infrastructure d'agents. Ceci le prouve.
Le problème n'est pas le modèle. Il ne l'a jamais été.
Lorsque la plupart des gens pensent à la sécurité de l'IA, ils pensent au LLM lui-même. L'injection d'invite. Les jailbreaks. La sécurité des modèles. Ce sont de réelles préoccupations, mais ce n'est pas là que se situe votre plus grande exposition dans un environnement d'agents en production.
Vos agents ne se contentent pas de penser. Ils agissent. Ils utilisent des serveurs MCP pour se connecter à vos systèmes internes, bases de données, API et applications SaaS. Le MCP est les mains de votre infrastructure d'agents. Et à l'heure actuelle, pour la plupart des organisations, ces mains sont complètement invisibles pour votre équipe de sécurité.
Une décision architecturale, prise une seule fois, ouvre la voie à l'exécution de code à distance sur l'ensemble de votre pile d'agents. Non pas parce que quelqu'un a écrit du mauvais code. Mais parce que le protocole lui-même n'a jamais été conçu avec la sécurité comme principe fondamental.
C'est un problème de chaîne d'approvisionnement, pas un problème de correctifs.
Quelques-uns des fournisseurs affectés ont publié des correctifs. La plupart ne l'ont pas fait. Anthropic a refusé de modifier l'architecture sous-jacente. Cela signifie que chaque développeur qui hérite du code MCP hérite du risque, qu'il le sache ou non.
C'est le schéma que nous observons depuis des années dans la sécurité des API. La vulnérabilité n'est pas localisée. Elle est structurelle. Elle réside dans les relations de confiance entre les composants, dans les configurations par défaut que personne ne remet en question, dans les interfaces que personne ne surveille. La seule façon d'y remédier est d'avoir une visibilité sur l'ensemble de la surface d'attaque, et non pas seulement des correctifs ponctuels sur des CVE individuelles.
Ce que vous devez faire maintenant.
Si votre organisation déploie des agents IA, vous avez besoin de réponses à trois questions dès aujourd'hui :
- Quels serveurs MCP sont en cours d'exécution dans votre environnement, et à quoi ont-ils accès ? La plupart des équipes de sécurité ne le savent pas. Les serveurs MCP connectent les agents à vos systèmes les plus sensibles, et ils sont mis en place plus rapidement que quiconque ne peut les suivre.
- Quelles actions ces serveurs peuvent-ils exécuter, et sous quelle autorité ? La vulnérabilité fonctionne précisément parce que l'interface STDIO des MCP permet l'exécution arbitraire de commandes du système d'exploitation avec une authentification minimale. Vous devez comprendre ce que vos agents sont autorisés à faire et surveiller ce qu'ils font réellement.
- Où votre infrastructure agentique interagit-elle avec des API externes ? Le chemin d'intrusion dans des scénarios comme celui-ci aboutit presque toujours à une API. Données sensibles, clés API, identifiants de base de données : ce sont les cibles, et les API sont le moyen par lequel elles sont exfiltrées.
Chez Salt, nous avons conçu le Agentic Security Graph spécifiquement pour répondre à ces questions. C'est le seul cadre qui offre aux équipes de sécurité une visibilité et un contrôle complets sur les trois couches de l'infrastructure agentique : le LLM, les serveurs MCP et les API qu'ils appellent. Non pas parce que nous avions prédit cette vulnérabilité exacte, mais parce que nous avons compris le problème structurel dès le début.
La surface d'attaque des MCP n'est plus théorique. Elle est présente dans votre environnement dès maintenant, et elle est activement étudiée par des acteurs malveillants qui lisent les mêmes articles de Hacker News que vos développeurs.
Vous ne pouvez pas sécuriser ce que vous ne voyez pas. Commencez par là.
