Kelemahan Eksekusi Perintah Sistemik dalam Transportasi STDIO Model Context Protocol Mempengaruhi 200.000 Server Agen AI

Peneliti OX Security menemukan bahwa transportasi STDIO Model Context Protocol (MCP)—metode default untuk menghubungkan agen AI ke alat lokal—mengeksekusi perintah sistem operasi apa pun yang diterimanya tanpa sanitasi. Tidak ada batas eksekusi antara konfigurasi dan perintah. Perintah berbahaya hanya mengembalikan kesalahan setelah perintah telah dieksekusi. OX Security memindai ekosistem dan menemukan 7.000 server pada IP publik dengan transportasi STDIO aktif, ekstrapolasi ke perkiraan 200.000 total instans rentan. Tim peneliti mengkonfirmasi eksekusi perintah arbitrer pada enam platform produksi langsung dengan pelanggan berbayar dan menghasilkan lebih dari 10 CVE dengan rating tinggi atau kritis di seluruh LiteLLM, LangFlow, Flowise, Windsurf, Langchain-Chatchat, Bisheng, DocsGPT, GPT Researcher, Agent Zero, LettaAI, dan lainnya.

Empat keluarga eksploitasi teridentifikasi: (1) Injeksi perintah tanpa autentikasi melalui antarmuka web kerangka kerja AI (ditunjukkan terhadap LangFlow dan LiteLLM); (2) Pelampauan pengerasan di mana OX melampaui daftar perintah yang diizinkan melalui injeksi argumen (npx -c) dalam alat seperti Flowise dan Upsonic; (3) Injeksi prompt tanpa klik dalam IDE pengkodean AI di mana HTML berbahaya memodifikasi file konfigurasi MCP lokal—Windsurf (CVE-2026-30615) tidak memerlukan interaksi pengguna sama sekali, sementara Cursor, Claude Code, dan Gemini-CLI memerlukan persetujuan pengguna tetapi tidak menampilkan konsekuensi eksekusi di antarmuka pengguna; (4) Distribusi paket berbahaya melalui registri MCP, di mana OX mengirimkan bukti konsep yang tidak berbahaya ke 11 registri dan sembilan menerimanya tanpa tinjauan keamanan. Ketidakamanan ini bukan bug pengkodean tetapi default desain dalam spesifikasi MCP Anthropic yang menyebar ke setiap SDK bahasa resmi (Python, TypeScript, Java, Rust).

Semua penerapan MCP menggunakan transportasi STDIO default. Produk rentan yang dikonfirmasi meliputi: LiteLLM (sudah diperbaiki), LangFlow (sebagian diperbaiki), Flowise (pengerasan dilampaui), Windsurf (CVE-2026-30615 sudah diperbaiki), Langchain-Chatchat, Bisheng, DocsGPT, GPT Researcher, Agent Zero, LettaAI, Upsonic, Cursor, Claude Code, Gemini-CLI, NextChat (ChatGPTNextWeb, CVE-2026-7644), dan setidaknya 7 server MCP GitHub penulis tunggal tambahan. Anthropic mengkonfirmasi perilaku ini adalah desain dan menolak untuk memodifikasi protokol, mencirakan model eksekusi STDIO sebagai default yang aman dengan sanitasi input sebagai tanggung jawab pengembang. OX Security membantah bahwa mengharapkan 200.000 pengembang untuk melakukan sanitasi input dengan benar adalah masalah sistemik. Kesenjangan kritis: setiap patch vendor memperbaiki produk mereka, tetapi tidak ada patch yang mengubah perilaku STDIO protokol MCP. Direktur keamanan yang menambal LiteLLM hari ini dan mengonfigurasi server STDIO MCP baru besok mewarisi default yang tidak aman yang sama.

Segera: Perlakukan MCP STDIO sebagai permukaan eksekusi yang diprioritaskan, bukan konektor. Terapkan kebijakan deny-by-default, daftar putih perintah spesifik, terapkan kontrol sandbox, dan berhenti menganggap validasi input hilir akan bertahan dalam skala besar. Untuk penerapan IDE (Cursor, Claude Code, Gemini-CLI, Windsurf): verifikasi bahwa vendor Anda telah menambal rantai prompt-injection-to-config-modification; periksa apakah perubahan konfigurasi menampilkan konsekuensi eksekusi di antarmuka pengguna sebelum persetujuan pengguna. Untuk penerapan kerangka kerja AI (LiteLLM, LangFlow, Flowise, dll.): terapkan patch vendor segera, tetapi akui bahwa patch memperbaiki bug khusus produk, bukan desain protokol. Lakukan audit penerapan MCP: identifikasi semua transportasi STDIO di lingkungan Anda, petakan akses level OS apa yang mereka miliki, terapkan least-privilege dan segmentasi jaringan. Jangka panjang: pertimbangkan migrasi ke transportasi SSE (server-sent events) jika dapat dilakukan, meskipun ini tidak didukung secara universal. Pantau pengiriman registri MCP jika Anda memungkinkan pengembang menginstal server komunitas; 9 dari 11 registri menerima bukti konsep tanpa tinjauan keamanan.