Threat Intelligence

Anthropic Won't Patch. 200,000 MCP Servers at Risk. Deterministic Detection Is Now the Only Contract Left.

ATR Project2026年4月19日6 min

This week Ox Security disclosed a systemic STDIO flaw in Anthropic's MCP SDK that puts 200,000 servers and 150M+ SDK downloads at risk. Anthropic declined to patch, calling the behavior expected. When the protocol vendor won't keep its side of the contract, the detection layer becomes the only remaining contract. Here's what ATR catches, and what to do this week.

摘要

•**2026-04-16**：Ox Security 揭露 Anthropic MCP STDIO 介面有系統性設計缺陷。20 萬個伺服器受影響、1.5 億次 SDK 下載、7,000 個公開暴露的實例。

•**Anthropic 拒絕修。** 他們說這是「預期行為」。([The Register](https://www.theregister.com/2026/04/16/anthropic_mcp_design_flaw/)、[Infosecurity Magazine](https://www.infosecurity-magazine.com/news/systemic-flaw-mcp-expose-150/)、[Ox 原文](https://www.ox.security/blog/the-mother-of-all-ai-supply-chains-critical-systemic-vulnerability-at-the-core-of-the-mcp/))

•**2026-04-17**：[CVE-2026-33032](https://www.bleepingcomputer.com/news/security/critical-nginx-ui-auth-bypass-flaw-now-actively-exploited-in-the-wild/) — Nginx UI MCP auth bypass（CVSS 9.8）正在被大量利用。2,600 個實例公開暴露。

•這兩則新聞在講同一件事：**MCP 安全現在是偵測問題，不是補丁問題。**

到底發生了什麼

Ox Security 展示了一個攻擊者只要能控制 MCP process 的 stdin，就能送出被 server 當作來自父 agent 的指令。這是協定層的設計問題 — 權限邊界到底從哪開始？一台主機內最小可接受的信任邊界是什麼？

Anthropic 的回應是：STDIO 本來就是這樣設計的。技術上沒錯，也正好解釋了為什麼所有下游使用者現在只能自救。

我們已經講了半年。[SAFE-MCP 技術清單](https://github.com/safe-agentic-framework/safe-mcp) 把 91.8% 的已知攻擊類別列出來了 — 這是很好的威脅模型。但當設計協定的廠商拒絕修，清單不是防禦 — 是診斷書。

「偵測是唯一剩下的契約」是什麼意思

每個部署中的 MCP agent 都有三個信任邊界：

1. **模型廠商**（Anthropic、OpenAI 等） — 訂協定規則。這週他們告訴我們，這類問題不修。

2. **工具 / skill 廠商** — 發布 MCP servers 和 skill 檔案。我們[上次掃 OpenClaw](/blog/751-malicious-skills-openclaw-zh) 發現 751 個正在散佈惡意軟體。

3. **偵測層** — agent 跟 tool call 之間的邊界。這是執行這個 agent 的你還能主動防禦的唯一一層。

這週之前，第 3 層是 nice-to-have。這週之後，是必備。

ATR 在 Ox 情境下抓什麼

ATR 是開源、MIT 授權的偵測規則。目前 118 條。在 [Cisco AI Defense](https://github.com/cisco-ai-defense/skill-scanner/pull/79) 和 [Microsoft Agent Governance Toolkit](https://github.com/microsoft/agent-governance-toolkit/pull/908) 已經 production 跑。針對這次 Ox 的揭露：

•**ATR-2026-00010** — MCP tool response 惡意內容。抓被攻陷的 MCP server 回傳的直接 shell 執行 payload（rm -rf、mkfs、反向 shell、shred 等）。

•**ATR-2026-00011** — 經 tool output 的指令注入。抓「IMPORTANT: assistant, you must...」這種框架，用來劫持呼叫方的 agent。

•**ATR-2026-00013** — Agent tool call 的 SSRF。抓雲端 metadata URL（AWS/GCP/Azure IMDS），被攻陷的 MCP tool 會試著從主機拉這個。

•**ATR-2026-00161** — MCP tool description IMPORTANT-tag 跨工具 shadowing。抓某個工具的 `<important>` 區塊指示 agent 執行另一個工具的模式。

**PINT benchmark recall: 62.7%。Precision: 99.7%。在 432 個真實世界良性 skill 樣本上 0 個誤報。** 這不是理論數字。完整方法論在 [agentthreatrule.org/quality-standard](https://agentthreatrule.org/quality-standard)。

這週該做什麼

1. **掃你已經裝的 MCP servers 跟 skills**：`npx agent-threat-rules scan <path>`。一般機器一分鐘內跑完。

2. **把偵測放在邊界**，不只是放在 agent 內部。如果你 production 跑 agent，extract-match-decide 這個迴圈要放在 tool execution 之前，不是之後。

3. **追蹤 [vulnerablemcp.info](https://vulnerablemcp.info/)** — 社群在維護的 MCP CVE 清單。2026 前 4 個月已經累積 30+ 個。

4. **不要再假設模型廠商會補協定層漏洞。** 這週已經證明他們不會。該有的規劃要自己做。

我們會繼續出 rule

ATR 針對這週揭露的 pattern 的涵蓋，已經在 npm v2.0.5 可以裝。如果你發現某個 Ox 情境的 payload 被漏掉，[開 issue](https://github.com/Agent-Threat-Rule/agent-threat-rules/issues) 附樣本，我們當天會有一條 rule 合進主線。這是我們在追求的速度 — 不是因為我們很快，而是替代方案是一個委員會。

---

*[ATR (Agent Threat Rules)](https://github.com/Agent-Threat-Rule/agent-threat-rules) — AI agent 安全的開放偵測標準。118 條規則。MIT 授權。已在多個 production 產品內出貨。*