एंथ्रोपिक की डिफ़ॉल्ट कमजोरियों के खिलाफ एआई आपूर्ति श्रृंखला को सुरक्षित करना

आधुनिक उद्यम वर्तमान में एक विशाल, उच्च-दांव वाले वास्तुशिल्प जुए में लगा हुआ है। एक ओर, संगठन एआई-संचालित स्वचालन में लाखों डॉलर लगा रहे हैं, जो ग्राहक सहायता से लेकर बैकएंड डेटाबेस प्रबंधन तक सब कुछ संभालने के लिए परिष्कृत तर्क इंजनों का लाभ उठा रहे हैं। दूसरी ओर, इन एआई प्रणालियों को इंटरऑपरेबल बनाने के लिए डिज़ाइन किए गए प्रोटोकॉल—विशेष रूप से एंथ्रोपिक का मॉडल संदर्भ प्रोटोकॉल (MCP)—असुरक्षित डिफ़ॉल्ट की नींव पर बने हैं जिन्हें एक साधारण कमांड स्ट्रिंग द्वारा विफल किया जा सकता है। पर्दे के पीछे, हम एआई युग के क्लासिक वास्तुशिल्प विरोधाभास को देख रहे हैं: हम अपने उपकरणों को जितना अधिक 'कनेक्टेड' और 'सहायक' बनाते हैं, हम किसी भी चतुर व्यक्ति के लिए हमले की सतह का उतना ही विस्तार करते हैं जो एक डिज़ाइन विकल्प का फायदा उठा सकता है।

मैंने हाल ही में एक एन्क्रिप्टेड सिग्नल लाइन पर एक सहयोगी के साथ इस पर चर्चा करते हुए एक दोपहर बिताई। वह एक अनुभवी घटना प्रतिक्रियाकर्ता (incident responder) है जिसने आपूर्ति श्रृंखला की आपदाओं का अपना उचित हिस्सा देखा है। हम दोनों सहमत थे कि हम एक महत्वपूर्ण मोड़ पर पहुँच गए हैं। वर्षों से, सुरक्षा समुदाय ने चेतावनी दी है कि उत्पादन वातावरण में लार्ज लैंग्वेज मॉडल (LLMs) को एकीकृत करने की जल्दबाजी से प्रणालीगत जोखिमों का एक नया वर्ग पैदा होगा। पिछले हफ्ते, वे चेतावनियाँ OX सिक्योरिटी द्वारा MCP आर्किटेक्चर में एक महत्वपूर्ण 'बाय डिज़ाइन' कमजोरी की खोज के साथ स्पष्ट हो गईं। यह केवल सॉफ्टवेयर के एक टुकड़े में बग नहीं है; यह एक व्यापक संरचनात्मक दोष है जो पायथन, टाइपस्क्रिप्ट, जावा और रस्ट वातावरण में 150 मिलियन से अधिक डाउनलोड को प्रभावित करता है।

एसटीडीआईओ (STDIO) इंटरफेस: एक पाइप या एक हथियार?

स्थिति की गंभीरता को समझने के लिए, हमें यह देखना होगा कि मॉडल संदर्भ प्रोटोकॉल वास्तव में वास्तुशिल्प स्तर पर कैसे काम करता है। MCP को एक खुले मानक के रूप में डिज़ाइन किया गया था ताकि LLMs स्थानीय डेटा और टूल के साथ निर्बाध रूप से बातचीत कर सकें। यह कई परिवहन तंत्रों का उपयोग करता है, लेकिन सबसे आम—और सबसे समस्याग्रस्त—मानक इनपुट/आउटपुट (STDIO) इंटरफेस है।

जोखिम के दृष्टिकोण से, यहाँ डिज़ाइन का चुनाव हैरान करने वाला है। प्रोटोकॉल प्रभावी रूप से एआई मॉडल को सिस्टम कमांड निष्पादित करके स्थानीय एसटीडीआईओ सर्वर शुरू करने की अनुमति देता है। सामान्य परिस्थितियों में, इस कमांड का उपयोग वैध स्थानीय टूल लॉन्च करने के लिए किया जाता है। हालाँकि, क्योंकि प्रोटोकॉल कार्यान्वयन में सख्त सत्यापन की कमी है, एक हमलावर इसके बजाय मनमाने ओएस (OS) कमांड चलाने के लिए कॉन्फ़िगरेशन में हेरफेर कर सकता है। सक्रिय रूप से कहें तो, यदि आप किसी सिस्टम को उस कमांड स्ट्रिंग का उपयोग करके 'सर्वर शुरू करने' की शक्ति देते हैं जिसे आप कड़ाई से नियंत्रित नहीं करते हैं, तो आपने अनिवार्य रूप से राज्य की चाबियाँ सौंप दी हैं।

वास्तुशिल्प स्तर पर, दोष अपनी सादगी में सुंदर है। जब MCP SDK को सर्वर को इनिशियलाइज़ करने के लिए कहा जाता है, तो यह दिए गए कमांड को निष्पादित करता है। यदि वह कमांड सफलतापूर्वक एक एसटीडीआईओ सर्वर बनाता है, तो यह LLM को एक हैंडल लौटाता है। यदि कमांड दुर्भावनापूर्ण है—मान लीजिए, एपीआई कुंजियों को निकालने के लिए एक स्क्रिप्ट या एक रिवर्स शेल—तो भी यह निष्पादित होता है। सिस्टम बाद में एक त्रुटि लौटा सकता है क्योंकि उसे अपेक्षित एसटीडीआईओ हैंडल नहीं मिला, लेकिन तब तक नुकसान हो चुका होता है। कमांड चल चुका है, पेलोड डिलीवर हो गया है, और हमलावर ने रिमोट कोड निष्पादन (RCE) प्राप्त कर लिया है।

एआई आपूर्ति श्रृंखला में डोमिनोज़ प्रभाव

खतरे के परिदृश्य को देखते हुए, यह आपूर्ति श्रृंखला की घटना का एक पाठ्यपुस्तक उदाहरण है। चूंकि यह तर्क आधिकारिक एंथ्रोपिक MCP SDK में शामिल किया गया था, इसलिए यह चुपचाप उन मूलभूत पुस्तकालयों में फैल गया जिन पर पूरा एआई उद्योग निर्भर है। नतीजतन, जिन परियोजनाओं पर डेवलपर्स ने सुरक्षित होने का भरोसा किया था, वे वास्तव में एक महत्वपूर्ण RCE भेद्यता विरासत में ले रहे थे।

एक प्रतिवाद के रूप में, कई डेवलपर्स को अपने व्यक्तिगत कार्यान्वयन को पैच करने के लिए संघर्ष करना पड़ा है। प्रभावित परियोजनाओं की सूची आधुनिक एआई स्टैक के 'कौन कौन है' (Who's Who) की तरह पढ़ी जाती है। हम ऑर्केस्ट्रेशन फ्रेमवर्क से लेकर विशेष शोध उपकरणों तक हर चीज में CVE देख रहे हैं:

• CVE-2026-30623 (LiteLLM): LLM API के लिए एक लोकप्रिय प्रॉक्सी जिसे अनधिकृत कमांड इंजेक्शन को रोकने के लिए तत्काल पैच की आवश्यकता थी।
• CVE-2026-40933 (Flowise): LLM ऐप बनाने के लिए एक लो-कोड टूल जिसने अपने कॉन्फ़िगरेशन लॉजिक को शोषण योग्य पाया।
• CVE-2026-30615 (Windsurf): एक एआई-संचालित IDE जहाँ एक दुर्भावनापूर्ण प्रोजेक्ट कॉन्फ़िगरेशन डेवलपर मशीन के पूर्ण समझौते का कारण बन सकता है।
• CVE-2025-54136 (Cursor): यहां तक कि प्रमुख एआई कोड एडिटर भी MCP द्वारा एसटीडीआईओ कॉन्फ़िगरेशन को संभालने के तरीके से अछूते नहीं रहे हैं।

डेटा अखंडता के संदर्भ में, जोखिम बहुत बड़ा है। इन MCP-सक्षम सेवाओं की अक्सर आंतरिक डेटाबेस, संवेदनशील उपयोगकर्ता चैट इतिहास और मिशन-महत्वपूर्ण एपीआई कुंजियों तक सीधी पहुंच होती है। उल्लंघन की स्थिति में, एक हमलावर केवल पासवर्ड नहीं चुराता है; वे उद्यम की स्वचालित प्रणालियों के मस्तिष्क में हेरफेर करने की क्षमता हासिल कर लेते हैं।

डेवलपर की दुविधा: 'अपेक्षित' व्यवहार बनाम सुरक्षा वास्तविकता

शायद इस खोज का सबसे निराशाजनक पहलू स्रोत से मिली प्रतिक्रिया है। एंथ्रोपिक ने प्रोटोकॉल के आर्किटेक्चर को संशोधित करने से इनकार कर दिया है, इस व्यवहार को 'अपेक्षित' बताया है। उनके दृष्टिकोण से, प्रोटोकॉल बिल्कुल वही कर रहा है जिसके लिए इसे डिज़ाइन किया गया था: सर्वर शुरू करने के लिए कमांड निष्पादित करना। उनका तर्क है कि इनपुट—स्वयं कमांड—को सुरक्षित करने की जिम्मेदारी उन डेवलपर्स की है जो प्रोटोकॉल को लागू करते हैं।

यह इन्फोसेक (InfoSec) में बढ़ते घर्षण बिंदु को उजागर करता है। जब कोई विक्रेता असुरक्षित डिफ़ॉल्ट वाला उपकरण प्रदान करता है, तो क्या यह खतरा पैदा करने के लिए विक्रेता की गलती है, या हेलमेट नहीं पहनने के लिए डेवलपर की गलती है? मेरे अनुभव में, जिम्मेदारी को कार्यान्वयनकर्ताओं पर स्थानांतरित करने से जोखिम हस्तांतरित नहीं होता है; यह सिर्फ इसे धुंधला कर देता है। जब एक डिज़ाइन विकल्प के परिणामस्वरूप 10 अलग-अलग प्रमुख परियोजनाओं में 10 अलग-अलग CVE होते हैं, तो यह अब 'उपयोगकर्ता त्रुटि' नहीं है—यह एक प्रणालीगत विफलता है।

हमें डेटा को एक जहरीली संपत्ति के रूप में देखना चाहिए। यदि आप इसे संभाल रहे हैं या इसके गुजरने के लिए पाइप प्रदान कर रहे हैं, तो आपको यह मान लेना चाहिए कि कुछ गलत होगा। एसटीडीआईओ ट्रांसपोर्ट को वैसा ही छोड़कर, एंथ्रोपिक अनिवार्य रूप से प्रत्येक डेवलपर से एक ऐसे प्रोटोकॉल के लिए अपना स्वयं का रोकथाम सूट बनाने के लिए कह रहा है जिसे सुरक्षा को ध्यान में रखकर बनाया जाना चाहिए था।

अपने एआई बुनियादी ढांचे को मजबूत करना: एक व्यावहारिक चेकलिस्ट

पैचिंग के अलावा, संगठन प्रोटोकॉल-स्तरीय सुधार के लिए इंतजार नहीं कर सकते जो शायद कभी न आए। हमें लचीला और सक्रिय होने की आवश्यकता है। यदि आप MCP-सक्षम सेवाएं चला रहे हैं, तो आपको नेटवर्क परिधि को एक पुराने महल की खाई की तरह मानना होगा। खतरा पहले से ही दीवारों के अंदर है, जिसे अक्सर एक 'सहायक' एआई टूल के माध्यम से आमंत्रित किया जाता है।

अपने वातावरण को सुरक्षित करने के लिए, निम्नलिखित विस्तृत चरणों पर विचार करें:

1. सब कुछ सैंडबॉक्स करें: उच्च-स्तरीय ओएस विशेषाधिकारों के साथ कभी भी MCP-सक्षम सेवा न चलाएं। प्रक्रिया को अलग करने के लिए डॉकर कंटेनर, gVisor, या फायरक्रैकर माइक्रोवीएम (microVMs) का उपयोग करें। यदि RCE होता है, तो हमलावर को खुद को बिना दरवाजे वाले डिजिटल कमरे में फंसा हुआ पाना चाहिए।
2. MCP स्रोतों को सत्यापित करें: केवल सत्यापित, विश्वसनीय स्रोतों से MCP सर्वर स्थापित करें। एक नए MCP टूल के साथ उसी स्तर की जांच करें जो आप किसी तीसरे पक्ष के कर्नेल ड्राइवर के साथ करेंगे।
3. सख्त नेटवर्क एग्रेस फ़िल्टरिंग: MCP सर्वरों के पास सार्वजनिक इंटरनेट तक निर्बाध पहुंच नहीं होनी चाहिए। सार्वजनिक आईपी पहुंच को ब्लॉक करें और केवल टूल को कार्य करने के लिए आवश्यक विशिष्ट आंतरिक सेवाओं के कनेक्शन की अनुमति दें।
4. टूल इनवोकेशन की निगरानी करें: हर बार MCP टूल को इनवोक किए जाने पर मजबूत लॉगिंग लागू करें। असामान्य कमांड स्ट्रिंग्स या आपके एआई ऑर्केस्ट्रेशन लेयर से उत्पन्न होने वाली प्रक्रियाओं की तलाश करें। जब आपके पास पेपर ट्रेल होता है तो फोरेंसिक विश्लेषण बहुत आसान होता है।
5. कॉन्फ़िगरेशन को अविश्वसनीय इनपुट के रूप में मानें: कोई भी MCP कॉन्फ़िगरेशन जो बाहरी स्रोत से आता है—जैसे कि मार्केटप्लेस या उपयोगकर्ता द्वारा प्रदान किया गया प्रॉम्प्ट—उसे तब तक दुर्भावनापूर्ण माना जाना चाहिए जब तक कि अन्यथा साबित न हो जाए।

अंतिम विचार: परिधि से परे

आज एआई के हमले की सतह का आकलन करना एक ऐसे घर में चलने जैसा महसूस होता है जहां दरवाजे स्टील के बने होते हैं लेकिन खिड़कियां कागज की बनी होती हैं। एंथ्रोपिक का MCP एक शक्तिशाली उपकरण है, लेकिन इसका वर्तमान 'बाय डिज़ाइन' दर्शन अंतिम-उपयोगकर्ता पर अनुचित बोझ डालता है।

जैसे-जैसे हम अधिक स्वायत्त एआई एजेंटों की ओर बढ़ते हैं, इन कमजोरियों की गुप्त प्रकृति केवल और अधिक खतरनाक होती जाएगी। हम यह भरोसा नहीं कर सकते कि हमारे उपकरण बॉक्स से बाहर सुरक्षित हैं। इसके बजाय, हमें एक शून्य-विश्वास (zero-trust) मानसिकता अपनानी चाहिए जहां एक मॉडल और एक स्थानीय प्रणाली के बीच प्रत्येक बातचीत को सत्यापित, सीमित और लॉग किया जाता है। एआई क्रांति तेजी से आगे बढ़ रही है, लेकिन अगर हम इन वास्तुशिल्प दरारों को ठीक करने के लिए धीमे नहीं होते हैं, तो हम खुद को रेत पर निर्माण करते हुए पा सकते हैं।

कार्रवाई करें: मॉडल संदर्भ प्रोटोकॉल पर किसी भी निर्भरता के लिए अपने वर्तमान एआई स्टैक का ऑडिट करें। विशेष रूप से, जांचें कि क्या आपके LangChain, LiteLLM, या Flowise के कार्यान्वयन नवीनतम पैच किए गए संस्करण चला रहे हैं। यदि आप कस्टम MCP टूल विकसित कर रहे हैं, तो रिमोट कॉन्फ़िगरेशन के लिए तुरंत एसटीडीआईओ ट्रांसपोर्ट से दूर हटें और सभी निष्पादित कमांड के लिए सख्त अनुमति-सूची (allow-listing) लागू करें।

स्रोत:

• OX Security: "MCP Architectural Vulnerability Analysis"
• MITRE ATT&CK: Software Supply Chain Compromise (T1195)
• NIST SP 800-218: Secure Software Development Framework (SSDF)
• Anthropic Official Model Context Protocol Documentation

अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है और पेशेवर साइबर सुरक्षा ऑडिट या घटना प्रतिक्रिया सेवा का स्थान नहीं लेता है। खतरे का परिदृश्य लगातार विकसित हो रहा है; मिशन-महत्वपूर्ण प्रणालियों में वास्तुशिल्प परिवर्तन करने से पहले हमेशा एक प्रमाणित सुरक्षा पेशेवर से परामर्श लें।