200.000 διακομιστές MCP εκτεθειμένοι: Το κενό ασφαλείας που η Anthropic αποκαλεί «δυνατότητα»

Η εξέλιξη της τεχνητής νοημοσύνης από απλά γλωσσικά μοντέλα σε αυτόνομους «πράκτορες» (AI agents) θεωρήθηκε το μεγάλο ορόσημο του 2025. Ωστόσο, η υποδομή που επιτρέπει σε αυτούς τους πράκτορες να επικοινωνούν με τον πραγματικό κόσμο —το Model Context Protocol (MCP)— βρίσκεται πλέον στο επίκεντρο μιας έντονης διαμάχης για την ασφάλεια στον κυβερνοχώρο. Μια πρόσφατη έκθεση της OX Security αποκάλυψε ότι πάνω από 200.000 διακομιστές MCP είναι εκτεθειμένοι σε μια ευπάθεια απομακρυσμένης εκτέλεσης εντολών (RCE), την οποία η δημιουργός του πρωτοκόλλου, Anthropic, αρνείται να χαρακτηρίσει ως σφάλμα, αποκαλώντας την «αναμενόμενη λειτουργία».

Η Άνοδος του MCP και η Υιοθέτηση από τους Γίγαντες

Το Model Context Protocol δημιουργήθηκε από την Anthropic με έναν φιλόδοξο στόχο: να γίνει το «USB της τεχνητής νοημοσύνης». Πριν από την εμφάνισή του, κάθε προγραμματιστής έπρεπε να γράφει προσαρμοσμένο κώδικα για να επιτρέψει σε ένα AI (όπως το Claude ή το ChatGPT) να διαβάσει ένα αρχείο, να εκτελέσει ένα ερώτημα σε μια βάση δεδομένων ή να στείλει ένα email. Το MCP τυποποίησε αυτή τη σύνδεση, επιτρέποντας σε AI agents να συνδέονται άμεσα με εργαλεία και δεδομένα χωρίς συνεχή επαναπρογραμματισμό.

Η αποδοχή ήταν κεραυνοβόλα. Τον Μάρτιο του 2025, η OpenAI ενσωμάτωσε το MCP στο οικοσύστημά της, ακολουθούμενη σύντομα από την Google DeepMind. Μέχρι τον Δεκέμβριο του 2025, η Anthropic είχε ήδη δωρίσει το πρωτόκολλο στο Linux Foundation, επισφραγίζοντας τον ρόλο του ως ανοιχτό παγκόσμιο πρότυπο. Με περισσότερες από 150 εκατομμύρια λήψεις, το MCP έγινε η ραχοκοκαλιά της «οικονομίας των πρακτόρων». Όμως, αυτή η ταχεία εξάπλωση φαίνεται πως άφησε πίσω της κρίσιμα κενά ασφαλείας.

Η Ανακάλυψη της OX Security: Το Σφάλμα stdio

Οι ερευνητές της OX Security, κατά τη διάρκεια ενός εξαντλητικού ελέγχου, εντόπισαν μια θεμελιώδη αδυναμία στον τρόπο με τον οποίο το MCP διαχειρίζεται το «stdio transport» — τη μέθοδο δηλαδή με την οποία το AI στέλνει εντολές στο σύστημα υποδοχής. Σύμφωνα με την έκθεση, η τρέχουσα υλοποίηση επιτρέπει σε έναν κακόβουλο παράγοντα να εισάγει εντολές συστήματος που εκτελούνται με τα δικαιώματα του χρήστη που τρέχει τον AI agent.

Το πρόβλημα εντοπίζεται στο γεγονός ότι πολλοί διακομιστές MCP, που έχουν σχεδιαστεί για να διευκολύνουν την πρόσβαση σε τοπικά αρχεία ή τερματικά, δεν διαθέτουν επαρκή «απομόνωση» (sandboxing). Οι ερευνητές κατάφεραν να αποκτήσουν πλήρη έλεγχο σε δοκιμαστικά συστήματα απλώς στέλνοντας ειδικά διαμορφωμένες εντολές μέσω του AI, οι οποίες στη συνέχεια μεταφράστηκαν σε εντολές λειτουργικού συστήματος χωρίς καμία επιβεβαίωση από τον χρήστη.

Η Απάντηση της Anthropic: «Είναι Χαρακτηριστικό, όχι Σφάλμα»

Η αντίδραση της Anthropic στις αποκαλύψεις της OX Security προκάλεσε αίσθηση στην κοινότητα της κυβερνοασφάλειας. Η εταιρεία υποστήριξε ότι η δυνατότητα εκτέλεσης εντολών είναι εγγενής στον σχεδιασμό του MCP. «Το MCP σχεδιάστηκε για να δίνει στους πράκτορες τη δυνατότητα να χρησιμοποιούν εργαλεία. Αν ένας χρήστης επιλέξει να δώσει στον πράκτορά του πρόσβαση σε ένα τερματικό ή σε ένα σύστημα αρχείων, η ευθύνη για την ασφάλεια αυτού του περιβάλλοντος βαρύνει τον οικοδεσπότη (host)», δήλωσε εκπρόσωπος της εταιρείας.

Αυτή η προσέγγιση «Security by User Responsibility» έρχεται σε πλήρη αντίθεση με τη σύγχρονη φιλοσοφία του «Security by Design». Οι επικριτές υποστηρίζουν ότι η Anthropic μεταθέτει το βάρος της ασφάλειας στους τελικούς χρήστες και τους προγραμματιστές, πολλοί από τους οποίους δεν έχουν τις γνώσεις για να θωρακίσουν σωστά έναν διακομιστή MCP. Η OX Security επιμένει ότι η έλλειψη προκαθορισμένων περιορισμών στο πρωτόκολλο καθιστά την κατάχρηση όχι απλώς πιθανή, αλλά αναπόφευκτη.

Οι Επιπτώσεις για το Οικοσύστημα της Τεχνητής Νοημοσύνης

Με 200.000 διακομιστές ήδη εκτεθειμένους, ο κίνδυνος είναι συστημικός. Οι AI agents χρησιμοποιούνται πλέον σε τμήματα HR, οικονομικές υπηρεσίες και διαχείριση υποδομών. Ένας εκτεθειμένος διακομιστής MCP θα μπορούσε να επιτρέψει σε έναν επιτιθέμενο να κλέψει ευαίσθητα δεδομένα, να εγκαταστήσει ransomware ή να χρησιμοποιήσει την υπολογιστική ισχύ της εταιρείας για κακόβουλους σκοπούς, όλα αυτά «μεταμφιεσμένα» ως νόμιμη δραστηριότητα ενός AI agent.

Το Linux Foundation, που πλέον διαχειρίζεται το MCP, βρίσκεται σε δύσκολη θέση. Από τη μία, πρέπει να διατηρήσει την ευελιξία του πρωτοκόλλου που το έκανε δημοφιλές· από την άλλη, η πίεση για την εισαγωγή αυστηρότερων προτύπων ασφαλείας αυξάνεται. Η OpenAI και η Google, αν και δεν έχουν τοποθετηθεί επίσημα για το συγκεκριμένο εύρημα, φέρονται να εξετάζουν επιπλέον επίπεδα ελέγχου (wrappers) πάνω από το MCP για να προστατεύσουν τους δικούς τους χρήστες.

Συμπέρασμα: Η Λεπτή Γραμμή μεταξύ Αυτονομίας και Ασφάλειας

Η υπόθεση του MCP αναδεικνύει το μεγαλύτερο δίλημμα της εποχής της AI: Πόση δύναμη είμαστε διατεθειμένοι να δώσουμε στις μηχανές και ποιος φέρει την ευθύνη όταν κάτι πάει στραβά; Ενώ η Anthropic έχει δίκιο ότι ένα εργαλείο είναι εξ ορισμού ισχυρό, η ιστορία της πληροφορικής έχει δείξει ότι η ισχύς χωρίς ενσωματωμένα φρένα οδηγεί πάντα σε καταστροφή. Η κοινότητα των προγραμματιστών καλείται τώρα να αποφασίσει αν θα αποδεχτεί το MCP ως έχει ή αν θα απαιτήσει μια ριζική αναθεώρηση που θα θέτει την ασφάλεια πάνω από την ευκολία χρήσης.