Prima di procedere
Il panorama della sicurezza informatica dedicata all'intelligenza artificiale sta affrontando una delle sue sfide più complesse e controverse degli ultimi anni. I ricercatori di OX Security hanno recentemente sollevato il velo su una vulnerabilità strutturale profonda all'interno del Model Context Protocol (MCP), uno standard aperto introdotto da Anthropic nel corso del 2024. Questa falla non riguarda un semplice bug di implementazione, ma si annida nel cuore stesso dell'architettura del protocollo, influenzando direttamente gli SDK ufficiali scritti in linguaggi fondamentali come Python, TypeScript, Java e Rust. L'impatto potenziale è vastissimo: le stime parlano di oltre 150 milioni di download e circa 200.000 istanze di server attivi che potrebbero essere esposti ad attacchi informatici sofisticati.
Il protocollo MCP è nato con l'ambizioso obiettivo di standardizzare il modo in cui i modelli di intelligenza artificiale interagiscono con strumenti esterni, database e API. Data la sua utilità, la gestione dello standard è stata trasferita alla Agentic AI Foundation sotto l'egida della Linux Foundation, diventando rapidamente un pilastro per colossi del settore come OpenAI e Google, oltre a essere integrato nella maggior parte dei moderni strumenti di sviluppo assistiti dall'AI. Tuttavia, secondo gli esperti di OX Security, la modalità con cui il protocollo gestisce le richieste attraverso l'interfaccia STDIO (standard input/output) rappresenta un rischio critico. Le richieste vengono infatti trasmesse ai punti di esecuzione dei comandi senza una validazione adeguata o un filtraggio preventivo, il che significa che ogni sviluppatore che adotta MCP eredita automaticamente questa debolezza strutturale.
L'indagine condotta da OX Security ha permesso di identificare quattro principali famiglie di exploit che potrebbero sfruttare questa falla. La prima riguarda l'iniezione di codice malevolo nelle interfacce utente senza necessità di autorizzazione, un rischio enorme per le applicazioni web-based. La seconda famiglia di attacchi permette di aggirare le misure di sicurezza su piattaforme considerate blindate, come Flowise. Particolarmente preoccupante è la terza categoria, che mira agli ambienti di sviluppo integrati (IDE) come Windsurf e Cursor: in questo scenario, richieste malevole potrebbero essere eseguite sui sistemi degli sviluppatori senza alcun intervento o consenso da parte dell'utente. Infine, la vulnerabilità potrebbe essere utilizzata per la distribuzione di pacchetti compromessi attraverso le stesse piattaforme MCP, inquinando l'intera catena di approvvigionamento del software (supply chain).
Per dimostrare la gravità della situazione, i ricercatori hanno condotto test empirici riuscendo a inserire payload di prova in 9 dei 11 registri MCP analizzati e confermando la possibilità di esecuzione remota di comandi su sei piattaforme commerciali attualmente operative. Nel corso dello studio, sono state catalogate almeno una dozzina di vulnerabilità private con rating di gravità alto o critico. Tra queste spiccano le falle nel gateway LiteLLM (identificata come CVE-2026-30623) e nella piattaforma Bisheng (CVE-2026-33224), che risultano ora corrette. Rimane invece in uno stato di incertezza la vulnerabilità di Windsurf (CVE-2026-30615), che consente l'esecuzione di codice locale; la segnalazione è stata ricevuta, ma non ancora risolta definitivamente, così come per progetti open source di rilievo quali GPT Researcher, Agent Zero, LangChain-Chatchat e DocsGPT.
Nonostante le evidenze tecniche fornite da OX Security, la risposta di Anthropic ha sollevato un acceso dibattito nella comunità tech. L'azienda ha infatti dichiarato che non ritiene necessari cambiamenti al protocollo a livello centrale, descrivendo il comportamento segnalato come "previsto" e coerente con il design originale del sistema. Anthropic ha rifiutato di implementare le contromisure suggerite dai ricercatori, come l'obbligo di eseguire solo comandi autorizzati tramite un file manifest o la creazione di una allow-list a livello di SDK. Questo rifiuto sposta l'intero onere della sicurezza sulle spalle dei singoli sviluppatori, che ora si trovano costretti a implementare manualmente complessi meccanismi di sanificazione dei dati in ingresso per evitare di esporre i propri sistemi e quelli dei loro clienti.
La controversia giunge in un momento particolarmente delicato per Anthropic. L'azienda sta infatti investigando su un accesso non autorizzato al suo modello di punta Mythos e ha recentemente ammesso una fuga di codice sorgente relativa al servizio Claude Code. Sebbene la governance del protocollo MCP sia ora passata alla Linux Foundation, Anthropic mantiene ancora il supporto e lo sviluppo degli SDK di riferimento, proprio quelli in cui è stata riscontrata la falla. In assenza di un intervento correttivo ufficiale, la comunità globale degli sviluppatori di Intelligenza Artificiale deve affrontare la realtà di un protocollo standardizzato che, pur essendo potente e versatile, richiede una vigilanza estrema e un approccio "zero trust" per essere utilizzato in sicurezza negli ambienti di produzione del 2026.
