Киберэксперт Спицын: новая уязвимость с оценкой 9,4 делает LLM-серверы бесхозной добычей

17.06.2025 |

Киберэксперт Спицын: новая уязвимость с оценкой 9,4 делает LLM-серверы бесхозной добычей

Изображение: Газинформсервис

Сегодня, 17 июня, исследователи обнародовали критическую уязвимость CVE-2025-49596 (CVSS 9.4) в инструменте MCP Inspector, предназначенном для тестирования и отладки серверов Machine Context Protocol. Киберэксперт лаборатории стратегического развития компании «Газинформсервис» Михаил Спицын предупреждает, что при уровне CVSS > 9 речь идёт не просто о бреши в инструменте, а об RCE, который открывает путь к «железу» CI\CD-платформы.

Спицын объяснил, что во всех версиях до 0.14.1 прокси-сервер Inspector не требует аутентификации, поэтому любой, кто доберётся до открытого порта, может отправлять MCP-команды через stdio и выполнить произвольный код. Это ставит под угрозу среды разработки ИИ: злоумышленник способен запускать команды на хосте, подменять или отравлять потоки ввода-вывода моделей и выводить конфиденциальные данные, что особенно опасно, когда тесты идут на «боевых» данных или с доступом к другим системам.

«Риск куда более чем серьёзный, это классический пример того, как "вспомогательный" отладочный сервис живёт без защиты, потому что "это же только для локальной сети". Для команд, тренирующих модели на "живых" прод-данных или подключающих внешние плагины, это фактически supply-chain-risk — компрометация моделей и дальнейшая "отравленная" поставка. Однако, благодаря инициативе по разработке российского реестра доверенных технологий ИИ, в которой "Газинформсервис" принимает активное участие, возможно будет избежать рисков, связанных с LLM-моделями», — подчеркнул киберэксперт.

Тем не менее проблема с уязвимостью уже устранена — разработчики выпустили MCP Inspector v0.14.1, где реализована полноценная аутентификация для прокси-доступа. Владельцам более ранних версий настоятельно рекомендуется немедленно обновиться и убедиться, что Inspector не доступен за пределами доверенной сети. Одновременно полезно пересмотреть журналы на предмет подозрительных вызовов MCP и ограничить экспонирование инструмента до минимума, чтобы исключить повторные атаки.

«Такие действия, как подозрительные вызовы, попытки исполнения кода и другие аномалии в сети — это по части специалистов центра мониторинга. Причём желательно таким экспертам использовать передовые технологии с модулями поведенческой аналитики, чтобы сократить время детектирования угрозы. Корпоративный центр мониторинга GSOC с помощью набора инструментов и средств мониторинга выявляет атаки на ранних стадиях и разрывает всю цепочку», — подытожил специалист.