Para peneliti keamanan di Veradocs telah mengungkap kerentanan kritis dalam Model Context Protocol ( MCP ) yang memungkinkan server jahat mengeksekusi kode sembarang pada sistem pengguna. Kelemahan ini memengaruhi alat pengembangan AI populer termasuk Claude Code , Gemini CLI , dan aplikasi lain yang mendukung MCP , sehingga menimbulkan kekhawatiran serius tentang keamanan integrasi alat AI.
MCP adalah protokol yang memungkinkan sistem AI berinteraksi dengan sumber data dan alat eksternal. Meskipun dirancang untuk meningkatkan kemampuan AI, penemuan terbaru menunjukkan bahwa menghubungkan ke server MCP yang tidak terpercaya dapat mengompromikan seluruh sistem melalui bypass autentikasi dan kegagalan validasi input.
Platform yang Terdampak:
- Claude Code ( Anthropic )
- Gemini CLI ( Google )
- CloudFront library
- MCP Inspector
- Berbagai implementasi ChatGPT
Masalah Keamanan Inti
Kerentanan ini berasal dari berbagai lapisan kegagalan keamanan. Para peneliti menemukan bahwa banyak implementasi MCP gagal memvalidasi autentikasi dari server MCP dengan benar, sehingga memungkinkan pelaku jahat melewati kontrol keamanan. Rantai serangan biasanya melibatkan server MCP yang dikompromikan atau berbahaya yang mengeksploitasi kerentanan sisi klien untuk mendapatkan akses sistem.
Satu kelemahan kritis melibatkan kerentanan Cross-Site Scripting ( XSS ) dalam pustaka CloudFront yang digunakan oleh berbagai klien MCP . Penanganan operasi substring yang tidak tepat oleh pustaka tersebut memungkinkan penyerang menyuntikkan kode JavaScript berbahaya yang dapat meloloskan diri dari pembatasan keamanan dan mengeksekusi perintah sembarang pada sistem host.
Perdebatan Komunitas tentang Penilaian Risiko
Pengungkapan keamanan ini telah memicu perdebatan sengit dalam komunitas pengembang tentang sifat sebenarnya dari risiko-risiko ini. Beberapa pihak berpendapat bahwa server MCP harus diperlakukan seperti dependensi eksternal lainnya, mirip dengan paket npm atau ekstensi browser, di mana pengguna secara alami menanggung risiko tertentu ketika menghubungkan ke sumber yang tidak terpercaya.
Server MCP lebih mirip dengan paket PyPI yang Anda pip install, modul npm yang Anda tambahkan ke proyek, atau ekstensi VSCode . Tidak ada yang akan berargumen bahwa pip pada dasarnya rusak karena menjalankan pip install malicious-package dapat mengompromikan sistem Anda.
Namun, pihak lain berpendapat bahwa klien MCP harus menyediakan sandboxing yang lebih baik, mirip dengan cara browser web melindungi pengguna dari situs web berbahaya. Implementasi saat ini menyajikan server MCP dalam format mirip marketplace, sehingga memudahkan pengguna untuk terhubung ke sumber yang berpotensi berbahaya tanpa pemeriksaan yang tepat.
 |
|---|
| Sebuah peringatan menunjukkan eksploitasi kerentanan Cross-Site Scripting (XSS), menggambarkan risiko menghubungkan ke server Model Context Protocol ( MCP ) yang tidak terpercaya |
Respons Industri dan Perbaikan
Perusahaan teknologi besar merespons dengan cepat laporan kerentanan tersebut. Anthropic , Google , dan Cloudflare masing-masing menerapkan pendekatan berbeda untuk mengatasi masalah keamanan. Cloudflare memperkenalkan validasi skrip dalam implementasi bugsnag mereka, sementara Anthropic memperbarui Claude Code dengan mekanisme autentikasi yang ditingkatkan.
Perbaikan Google untuk Gemini CLI berfokus pada escaping tanda kutip tunggal dalam perintah PowerShell , meskipun beberapa peneliti mengkritik ini sebagai solusi minimal. Pendekatan yang bervariasi menyoroti kompleksitas mengamankan implementasi MCP di berbagai platform dan kasus penggunaan.
Pembayaran Bug Bounty:
- Anthropic Claude Code: $23,322 USD
- Anthropic MCP: $12,222 USD
- Cloudflare: $99,233 USD (dampak ketersediaan)
- Google Gemini CLI: Diselesaikan sebagai duplikat
Implikasi yang Lebih Luas untuk Keamanan AI
Kerentanan MCP mengekspos kekhawatiran yang lebih mendalam tentang kecepatan pengembangan yang cepat dalam industri AI. Banyak pengembang mencatat bahwa kualitas kode dari perusahaan AI sering terlihat terburu-buru, mengingatkan pada mentalitas move fast, break stuff yang telah menyebabkan masalah keamanan di sektor teknologi lainnya.
Insiden ini juga menimbulkan pertanyaan tentang arsitektur fundamental integrasi alat AI. Beberapa ahli berpendapat bahwa pendekatan saat ini untuk memuat respons alat eksternal langsung ke dalam konteks AI menciptakan risiko keamanan yang melekat yang mungkin sulit untuk diselesaikan sepenuhnya.
Meskipun ada kekhawatiran keamanan, para pendukung berpendapat bahwa MCP mewakili langkah penting menuju interoperabilitas AI universal. Fitur negosiasi kemampuan protokol menawarkan potensi signifikan untuk integrasi sistem AI, meskipun implementasi saat ini memerlukan perbaikan keamanan.
Para peneliti menerima pembayaran bug bounty mulai dari 12.222 dolar Amerika Serikat hingga 23.322 dolar Amerika Serikat dari berbagai perusahaan, meskipun beberapa pihak dalam komunitas mempertanyakan apakah jumlah tersebut secara memadai mencerminkan tingkat keparahan kerentanan eksekusi kode jarak jauh.
MCP (Model Context Protocol): Protokol komunikasi yang memungkinkan sistem AI berinteraksi dengan alat dan sumber data eksternal
XSS (Cross-Site Scripting): Kerentanan keamanan yang memungkinkan penyerang menyuntikkan skrip berbahaya ke dalam aplikasi web
Referensi: From MCP to Shell