Kerentanan Desain MCP Anthropic Sebabkan RCE, Ancaman Serius Rantai Pasok AI

Peneliti keamanan siber baru-baru ini mengungkap sebuah kerentanan kritis pada desain protokol Model Context Protocol (MCP) yang dimiliki Anthropic, berpotensi membuka celah untuk remote code execution (RCE) yang dapat berdampak luas pada rantai pasok kecerdasan buatan (AI).

Menurut analisis dari para peneliti OX Security, Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok, dan Roni Bar, kerentanan ini memungkinkan pelaku jahat menjalankan perintah sembarangan di sistem yang menjalankan implementasi MCP rentan. Ini memberi akses langsung ke data pengguna sensitif, database internal, kunci API, hingga riwayat chat.

"Celakanya, kelemahan ini tertanam secara sistemik pada SDK MCP resmi Anthropic di semua bahasa pemrograman yang didukung, seperti Python, TypeScript, Java, dan Rust," jelas tim OX Security.

Lebih dari 7.000 server publik dan paket perangkat lunak dengan total unduhan mencapai 150 juta telah terpengaruh. Kerentanan ini bersumber dari pengaturan default yang tidak aman dalam konfigurasi MCP melalui antarmuka STDIO (standard input/output).

Daftar Kerentanan dan Proyek Terdampak

Tim OX Security mengidentifikasi 10 kerentanan utama yang tersebar di berbagai proyek populer seperti LiteLLM, LangChain, LangFlow, dan lainnya, termasuk:

• CVE-2025-65720 (GPT Researcher)
• CVE-2026-30623 (LiteLLM) – Sudah diperbaiki
• CVE-2026-30624 (Agent Zero)
• CVE-2026-30618 (Fay Framework)
• CVE-2026-33224 (Bisheng) – Sudah diperbaiki
• CVE-2026-30617 (Langchain-Chatchat)
• CVE-2026-33224 (Jaaz)
• CVE-2026-30625 (Upsonic)
• CVE-2026-30615 (Windsurf)
• CVE-2026-26015 (DocsGPT) – Sudah diperbaiki
• CVE-2026-40933 (Flowise)

Kategori Kerentanan dan Mekanisme RCE

Kerentanan ini dikelompokkan ke dalam empat kategori utama yang memicu eksekusi perintah secara jarak jauh (RCE) di server:

1. Injeksi perintah tanpa autentikasi dan dengan autentikasi melalui MCP STDIO
2. Injeksi perintah tanpa autentikasi lewat konfigurasi STDIO langsung dengan bypass pengamanan
3. Injeksi perintah tanpa autentikasi melalui pengeditan konfigurasi MCP via prompt injection tanpa klik
4. Injeksi perintah tanpa autentikasi lewat pasar MCP via permintaan jaringan yang memicu konfigurasi STDIO tersembunyi

"Protokol Model Context Anthropic memberikan akses konfigurasi langsung yang berujung pada eksekusi perintah melalui antarmuka STDIO pada semua implementasinya, tanpa terkecuali bahasa pemrograman," jelas para peneliti.

Mekanisme ini awalnya dibuat untuk memulai server STDIO lokal dan mengembalikan kendali STDIO ke model bahasa besar (LLM). Namun, kenyataannya siapapun bisa menjalankan perintah OS sembarangan di server jika perintah tersebut berhasil membuat server STDIO.

Riwayat dan Tanggapan Anthropic

Kelemahan serupa berdasarkan masalah inti yang sama telah dilaporkan secara independen selama setahun terakhir, mencakup CVE seperti CVE-2025-49596 (MCP Inspector), CVE-2026-22252 (LibreChat), dan lainnya.

Namun Anthropic menolak mengubah arsitektur protokol MCP dan menganggap perilaku ini sebagai "diharapkan". Walau beberapa vendor telah merilis patch, implementasi referensi MCP Anthropic tetap rentan, memaksa pengembang menanggung risiko eksekusi kode.

Impak pada Rantai Pasok AI dan Rekomendasi Keamanan

Kejadian ini menyoroti bagaimana integrasi berbasis AI dapat memperluas permukaan serangan secara tak terduga. Untuk mengurangi risiko, para ahli menyarankan:

• Memblokir akses IP publik ke layanan sensitif
• Memantau pemanggilan alat MCP secara ketat
• Menjalankan layanan MCP dalam lingkungan sandbox
• Memperlakukan input konfigurasi MCP eksternal sebagai tidak tepercaya
• Hanya menginstal server MCP dari sumber yang terverifikasi

"Yang membuat ini menjadi masalah rantai pasok, bukan hanya masalah satu CVE, adalah keputusan arsitektur tunggal yang merambat secara diam-diam ke seluruh bahasa, pustaka, dan proyek yang mengandalkan protokol tersebut," ujar OX Security. "Menyalahkan pengembang hanya menyembunyikan siapa yang sebenarnya menciptakan risiko ini."

Untuk informasi lebih lengkap, kunjungi artikel asli di The Hacker News.

Analisis Redaksi

Menurut pandangan redaksi, kerentanan MCP Anthropic ini bukan sekadar masalah teknis biasa, melainkan sebuah warning sign besar bagi industri AI yang sangat bergantung pada protokol dan SDK pihak ketiga. Desain arsitektur yang tidak memperhatikan keamanan sejak awal bisa menyebabkan efek domino berbahaya di seluruh ekosistem AI global.

Lebih jauh, keputusan Anthropic yang enggan memperbaiki desain protokolnya mengindikasikan adanya dilema besar antara inovasi dan keamanan. Jika penyedia teknologi tidak bertanggung jawab atas risiko arsitektur yang mereka ciptakan, maka beban pengamanan akan jatuh pada pengembang dan pengguna akhir yang mungkin tidak memiliki sumber daya memadai.

Ke depan, sangat penting bagi pelaku industri untuk menuntut transparansi dan standar keamanan yang lebih tinggi dalam pengembangan protokol AI. Selain itu, pengguna dan organisasi harus lebih proaktif dalam menerapkan praktik keamanan berlapis untuk melindungi aset digital mereka. Kasus MCP Anthropic bisa menjadi pelajaran penting tentang bahayanya mengabaikan keamanan rantai pasok AI.

Terus ikuti perkembangan terbaru untuk memahami bagaimana ancaman ini akan direspons dan dampaknya terhadap ekosistem AI global.