R
מחילת הארנב 20 באפריל 2026 · 2 דק׳ קריאה

פגיעות קריטית ב-Flowise מאפשרת הרצת קוד מרחוק דרך מתאמי MCP

סייברRCEAIMCPשרשרת אספקהפגיעות

חוקרי אבטחה מחברת OX Security חשפו פגיעות קריטית ב-Flowise ובעשרות פלטפורמות AI נוספות, המאפשרת הרצת קוד מרחוק (RCE) על מערכות פגיעות. הממצא חריג במיוחד: הבעיה אינה באג בקוד ספציפי — אלא פגם ארכיטקטוני ב-SDK הרשמי של פרוטוקול MCP שפיתחה Anthropic.

מה זה MCP ומדוע הוא מסוכן?

פרוטוקול MCP (Model Context Protocol) הוא תקן תקשורת שפיתחה Anthropic לחיבור סוכני AI לכלים ומקורות מידע חיצוניים. הוא מיושם ב-SDK רשמיים ב-Python, TypeScript, Java ו-Rust — ומשמש כבסיס לאינספור פלטפורמות AI.

הבעיה: כל מפתח שבנה על גבי MCP יורש את החשיפה מבלי לדעת על כך. זה אינו באג שניתן לתקן בעדכון אחד — זוהי בעיה שנשתלה בשכבת הבסיס של מערכת שלמה.

היקף הפגיעה

OX Security הצליחו להריץ פקודות חיות על שש פלטפורמות ייצור במהלך המחקר. הנתונים מדאיגים:

  • 150 מיליון הורדות של רכיבים מושפעים
  • 7,000+ שרתים חשופים לציבור
  • ~200,000 מופעים פגיעים ברחבי האקוסיסטם
  • לפחות 10 CVEs פורסמו — ב-LiteLLM, LangChain, GPT Researcher, Windsurf, DocsGPT ו-IBM LangFlow

ב-Flowise, נמצא גם מעקף הקשחה — כלומר, אפילו סביבות שהוגדרו עם הגנות נוספות ניתן לנצל דרך מתאמי MCP.

בנוסף, במהלך הבדיקות 9 מתוך 11 רשמי MCP הורעלו בשרתי MCP זדוניים — פוטנציאל ל-supply chain attack נרחב.

Anthropic סירבה לתקן

OX Security פנתה ל-Anthropic שוב ושוב בהמלצה לתקן את הפגם ברמת הפרוטוקול — מה שהיה מגן על מיליוני משתמשים שתלויים בפרוטוקול. Anthropic סירבה, וציינה שהתנהגות זו “צפויה ומכוונת”.

המלצות מיידיות

  • חסמו חשיפה ציבורית של שירותי AI המחוברים ל-APIs או מסדי נתונים רגישים
  • התייחסו לכל קלט MCP חיצוני כלא-מהימן; הגבילו קלט משתמש מ-StdioServerParameters
  • הריצו שירותי MCP בסביבות sandbox עם הרשאות מינימליות
  • עקבו אחר קריאות כלים של סוכני AI לאיתור פעילות יוצאת חריגה
  • עדכנו את כל השירותים המושפעים לגרסאות המתוקנות המעודכנות

קריאה נוספת

רוצים להעמיק? כתבנו שני מאמרים לימודיים שמרחיבים על הנושאים שעלו בידיעה זו:

תגובות