Una grave vulnerabilità di sicurezza è stata scoperta nel Model Context Protocol (MCP) Inspector di Anthropic, una delle principali società nel campo dell’intelligenza artificiale. Questa vulnerabilità, identificata come CVE-2025-49596, ha un punteggio CVSS di 9.4 su 10, segnalandosi come una delle prime criticità di tipo remote code execution (RCE) nell’ecosistema MCP di Anthropic. La falla permette a un attaccante di eseguire codice da remoto e prendere il controllo completo delle macchine degli sviluppatori, aprendo la strada a furti di dati, installazione di backdoor e movimenti laterali nelle reti aziendali, mettendo a rischio sia team AI che progetti open source e imprese che utilizzano MCP.

Il protocollo MCP, introdotto da Anthropic a novembre 2024, standardizza l’integrazione tra applicazioni basate su large language model (LLM) e fonti dati esterne. L’Inspector MCP è uno strumento pensato per testare e fare debug dei server MCP, ma la sua architettura prevede un server proxy che, se configurato con impostazioni predefinite insicure (come assenza di autenticazione ed encryption), espone l’ambiente locale a potenziali exploit da parte di chiunque abbia accesso alla rete locale o a internet.

Attacco combinato: 0.0.0.0 Day e CSRF

L’attacco sfrutta una combinazione tra una vulnerabilità nota nei browser moderni (definita 0.0.0.0 Day) e una CSRF nel componente Inspector, permettendo a un sito malevolo di inviare richieste al server MCP locale attraverso la porta predefinita (ad es. 6277) e ottenere l’esecuzione di codice arbitrario, anche se il servizio ascolta su localhost. Questo è possibile perché, quando il server ascolta su 0.0.0.0, accetta connessioni su tutte le interfacce di rete, inclusa quella di loopback.

Correzione della vulnerabilità e rischi residui

Gli sviluppatori di MCP Inspector hanno risolto la vulnerabilità con la versione 0.14.1, introducendo autenticazione e validazione dell’origine delle richieste per bloccare gli attacchi di DNS rebinding e CSRF. Tuttavia, la scoperta di questa falla segue la segnalazione di altre vulnerabilità, come SQL injection nel server SQLite MCP, che possono portare a prompt injection, esfiltrazione dati e compromissione dei flussi di lavoro degli agenti AI.

Best practice e mitigazioni

Anche la configurazione errata dei server MCP, come il binding sull’indirizzo 0.0.0.0 senza restrizioni, può rendere accessibile lo strumento a chiunque si trovi sulla stessa rete locale, aumentando notevolmente i rischi di abuso. Per mitigare questi rischi, è fondamentale configurare regole di sicurezza specifiche nei client MCP e non affidarsi esclusivamente alle impostazioni di default, educando gli AI agenti a riconoscere e prevenire attacchi di context poisoning e prompt injection.