Le Model Context Protocol (MCP), créé par Anthropic comme standard ouvert pour la communication entre agents IA et outils, présente un problème architectural mis en évidence par des chercheurs en sécurité. La faille concerne le transport STDIO, le mode de connexion par défaut entre un agent IA et un outil local.
Quatre chercheurs de la société OX Security ont publié les résultats d’un audit révélant que ce transport exécute toute commande de système d’exploitation qu’il reçoit, sans filtre ni vérification. Selon leur analyse, environ 200 000 serveurs seraient concernés.
A lire aussi
- Google a suspendu 39,2 millions d’annonceurs malveillants en 2024 grâce à l’IA
- Google Firebase Studio : Tout savoir sur ce nouvel outil
Un protocole devenu standard industriel
MCP a connu une adoption rapide depuis sa création par Anthropic. OpenAI l’a intégré en mars 2025, suivi de Google DeepMind. En décembre 2025, Anthropic a confié la gouvernance du protocole à la Linux Foundation. Le nombre de téléchargements a dépassé les 150 millions.
Cette diffusion large explique l’ampleur potentielle du problème. MCP est désormais présent dans de nombreux environnements de développement, outils d’automatisation et infrastructures d’agents IA, ce qui élargit la surface d’exposition.
Le mécanisme de la faille
Le transport STDIO de MCP fonctionne en transmettant des commandes directement au système d’exploitation hôte. Aucune étape de validation ou de filtrage n’est appliquée avant l’exécution. Un agent IA ou un outil malveillant connecté via ce canal peut ainsi déclencher des opérations arbitraires sur la machine cible.
Dans un contexte d’agent IA, cela signifie qu’une instruction injectée dans le flux de communication, que ce soit via une invite manipulée ou un outil compromis, peut se traduire par l’exécution d’une commande système avec les privilèges du processus en cours.
Les chercheurs d’OX Security soulignent que la nature même du protocole, conçu pour faciliter l’interaction entre un agent et son environnement local, crée une tension directe avec les principes de sécurité les plus élémentaires.
La position d’Anthropic : une conception assumée
Face à ces conclusions, Anthropic a adopté une position qui tranche avec les pratiques habituelles de gestion de vulnérabilités. La société considère ce comportement non pas comme un défaut à corriger, mais comme une fonctionnalité inhérente au protocole.
Cet argument repose sur la logique de conception de MCP : le protocole est destiné à permettre aux agents IA d’agir sur leur environnement, y compris en exécutant des commandes locales. Restreindre cette capacité reviendrait, selon cette lecture, à limiter l’utilité fondamentale de l’outil.
Cette position soulève des questions sur la responsabilité partagée entre les concepteurs du protocole et les développeurs qui l’intègrent dans des produits exposés à des entrées non contrôlées.
Implications pour les déploiements actuels
Pour les équipes qui utilisent MCP dans des environnements de production, la faille identifiée par OX Security impose une réévaluation des mesures de cloisonnement. En l’absence de filtrage natif dans le protocole, la sécurité repose entièrement sur des contrôles externes.
Les principaux vecteurs de risque incluent les attaques par injection de prompt, les outils tiers malveillants connectés via MCP et les configurations où le processus hôte dispose de droits étendus sur le système. La popularité croissante de MCP rend ces scénarios d’autant plus pertinents à anticiper.
L’audit d’OX Security intervient alors que le protocole est en cours de standardisation formelle sous l’égide de la Linux Foundation, ce qui pourrait influencer les futures spécifications de sécurité du standard.
Source : VentureBeat
