Новость: Обнаружена критическая уязвимость удаленного выполнения кода (RCE) в Model Control Plane (MCP) от Anthropic, системе, управляющей выводом для моделей, таких как Claude 3.5 Sonnet. Недостаток, возникающий из-за небезопасной десериализации Python, позволяет злоумышленникам внедрять полезную нагрузку и потенциально получать root-доступ к данным тонкой настройки и подсказкам. AI стартапы, полагающиеся на Claude APIs, сталкиваются с потенциальными сбоями, обходящимися примерно в $4,45 миллиона, а восстановление оценивается в 2-4 недели. Anthropic исправила уязвимость в SDK v1.2.3, представив белый список входных данных и песочницу десериализаторов, и развертывает MCP 2.0 с сегментацией с нулевым доверием и Rust-парсерами.
AI Анализ: Эта уязвимость подчеркивает риски, присущие закрытым AI моделям, и важность надежной безопасности цепочки поставок. Инцидент привел к снижению доверия инвесторов, что отражено в падении индекса страха и жадности Crypto до 29, и сокращении финансирования AI токенов на 25%. Сдвиг к альтернативам с открытым исходным кодом, таким как Meta's Llama 3.1, и увеличение спроса на аудиты безопасности (SOC 2 Type II) свидетельствуют о растущем акценте на безопасности в экосистеме AI.
