{"id":2767,"date":"2026-04-17T11:11:50","date_gmt":"2026-04-17T09:11:50","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/faille-mcp-200-000-serveurs-exposes-a-lexecution-de-code-anthropic-dit-que-cest-normal\/"},"modified":"2026-04-17T11:11:50","modified_gmt":"2026-04-17T09:11:50","slug":"faille-mcp-200-000-serveurs-exposes-a-lexecution-de-code-anthropic-dit-que-cest-normal","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/faille-mcp-200-000-serveurs-exposes-a-lexecution-de-code-anthropic-dit-que-cest-normal\/","title":{"rendered":"Faille MCP : 200 000 serveurs expos\u00e9s \u00e0 l’ex\u00e9cution de code, Anthropic dit que c’est normal"},"content":{"rendered":"

L’interface STDIO du protocole permet de cr\u00e9er des sous-processus sans contr\u00f4le, ce qui ouvre la porte \u00e0 n’importe quelle commande OS sur la machine h\u00f4te.<\/p>\n

Le probl\u00e8me touche tous les langages support\u00e9s par le SDK : Python, TypeScript, Java, Rust. Et les packages concern\u00e9s totalisent plus de 150 millions de t\u00e9l\u00e9chargements. Les chercheurs ont document\u00e9 quatre classes de vuln\u00e9rabilit\u00e9. D’abord de l’injection de commandes non authentifi\u00e9e, test\u00e9e sur LangFlow (toutes les versions) et GPT Researcher<\/p>\n

Ensuite des contournements de s\u00e9curit\u00e9 sur Upsonic et Flowise. Et puis de l’injection de prompt zero-click dans des IDE comme Windsurf, Cursor, Gemini-CLI et GitHub Copilot. Et enfin du “marketplace poisoning” : 9 marketplaces MCP sur 11 test\u00e9es ont accept\u00e9 un serveur malveillant de d\u00e9monstration sans broncher.<\/p>\n

10 CVE de niveau \u00e9lev\u00e9 ou critique ont \u00e9t\u00e9 \u00e9mis. OX Security a men\u00e9 plus de 30 processus de divulgation responsable depuis novembre 2025, avant de rendre les r\u00e9sultats publics en avril.<\/p>\n

La r\u00e9ponse d’Anthropic est celle qui fait grincer des dents. La bo\u00eete consid\u00e8re que le comportement est “attendu” et a refus\u00e9 de modifier l’architecture du SDK. Elle a publi\u00e9 des recommandations de s\u00e9curit\u00e9 mises \u00e0 jour, mais selon les chercheurs, “\u00e7a n’a rien corrig\u00e9”. En clair, Anthropic estime que la s\u00e9curit\u00e9 de l’interface STDIO est du ressort de l’utilisateur qui d\u00e9ploie, pas du protocole lui-m\u00eame.<\/p>\n

C’est quand m\u00eame un positionnement g\u00eanant, MCP est devenu un standard de facto pour connecter des mod\u00e8les IA \u00e0 des outils externes, et des milliers d’entreprises et de d\u00e9veloppeurs l’ont adopt\u00e9.<\/p>\n

Si le SDK officiel laisse passer de l’ex\u00e9cution de code arbitraire par design, et que la r\u00e9ponse officielle est “c’est voulu, s\u00e9curisez vous-m\u00eames”, la responsabilit\u00e9 est d\u00e9plac\u00e9e vers l’aval sans filet.<\/p>\n

Bref, si vous d\u00e9ployez du MCP en prod, les recommandations d’OX Security valent le d\u00e9tour. Anthropic ne corrigera pas \u00e0 votre place.<\/p>\n

Source :
\nThe Register<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"