Новина: Виявлено критичну вразливість віддаленого виконання коду (RCE) в Model Control Plane (MCP) від Anthropic, системі, що керує висновками для моделей, таких як Claude 3.5 Sonnet. Недолік, що виникає через небезопасну десеріалізацію Python, дозволяє зловмисникам впроваджувати корисне навантаження та потенційно отримувати root-доступ до даних тонкого налаштування та підказок. AI стартапи, які покладаються на Claude APIs, стикаються з потенційними збоями, що коштують близько $4,45 мільйона, а відновлення оцінюється в 2-4 тижні. Anthropic виправила вразливість у SDK v1.2.3, представивши білий список вхідних даних і пісочницю десеріалізаторів, і розгортає MCP 2.0 із сегментацією з нульовим довірою та Rust-парсерами.
AI Аналіз: Ця вразливість підкреслює ризики, властиві закритим AI моделям, і важливість надійної безпеки ланцюга постачання. Інцидент спричинив зниження довіри інвесторів, що відображено в падінні індексу страху та жадібності Crypto до 29, і скороченні фінансування AI токенів на 25%. Зсув до альтернатив з відкритим кодом, таких як Meta's Llama 3.1, і збільшення попиту на аудити безпеки (SOC 2 Type II) свідчать про зростання акценту на безпеці в екосистемі AI.
