Le regole del digitale stanno cambiando.
O sei visibile o sei fuori. Noi ti aiutiamo a raggiungere i clienti giusti — quando ti stanno cercando.
Contattaci ora →
Una vulnerabilità nel Model Context Protocol (MCP) di Anthropic mette a rischio migliaia di server, ma l’azienda non interviene e addossa la responsabilità agli sviluppatori.
I ricercatori di Ox Security hanno scoperto una falla critica nella tecnologia AI di Anthropic che espone 200.000 server a controllo remoto. Sorprendentemente, l'azienda si rifiuta di applicare una patch correttiva, definendo la vulnerabilità un "comportamento previsto". Questa decisione controversa scarica la responsabilità della sicurezza sui singoli sviluppatori e solleva seri dubbi sulla responsabilità delle big tech.
La portata del problema: un rischio per 200.000 server
Parliamoci chiaro: i numeri sono impressionanti.
Il team di Ox Security, composto da Moshe Siman Tov Bustan, Mustafa Naamnih, Nir Zadok e Roni Bar, ha identificato oltre 150 milioni di download di progetti che utilizzano la tecnologia vulnerabile. Tra questi ci sono nomi pesanti, strumenti che forse anche tu stai usando o valutando, come LangFlow di IBM, LiteLLM, LangChain e GPT Researcher.
L’impatto non è teorico: i ricercatori sono riusciti a eseguire comandi da remoto su sei piattaforme di produzione attive, dimostrando che un malintenzionato potrebbe avere accesso diretto ai dati sensibili degli utenti, ai database interni, alle chiavi API e alle cronologie delle chat.
In pratica, un aggressore potrebbe non solo rubare informazioni, ma prendere il pieno controllo del sistema. E la cosa più preoccupante è che esistono molteplici modi per farlo, inclusi attacchi che non richiedono nemmeno un clic da parte della vittima o che sfruttano le falle nei marketplace dove questi strumenti vengono distribuiti.
E se pensi che questo sia un dibattito puramente tecnico, aspetta di sentire dove sta il vero nocciolo della questione.
La vera questione: difetto di progettazione o responsabilità dello sviluppatore?
Qui la storia si fa interessante.
Di fronte ai risultati della ricerca, la risposta di Anthropic è stata netta, come scrive The Register: il comportamento è quello previsto e la responsabilità di “sanificare” gli input, ovvero di controllare cosa viene inserito nel sistema per evitare comandi malevoli, spetta ai singoli sviluppatori che utilizzano i loro strumenti.
Una posizione che, diciamocelo, solleva qualche interrogativo sulla responsabilità delle grandi aziende tech che forniscono le fondamenta su cui altri costruiscono.
Dall’altra parte, Ox Security ribatte con una logica ferrea: “una singola modifica all’architettura a livello di protocollo avrebbe protetto ogni progetto, ogni sviluppatore e ogni utente finale”.
Invece di costringere migliaia di persone a implementare complesse e forse imperfette misure di sicurezza, si sarebbe potuto risolvere il problema alla radice.
È un po’ come vendere un’auto senza freni e dire al guidatore che è sua responsabilità imparare a fermarsi usando il freno a mano.
Questa divergenza di opinioni non è solo una discussione accademica.
Ha implicazioni reali e immediate per la sicurezza di chiunque utilizzi questi strumenti.
Come funziona l’attacco e perché la risposta di Anthropic non basta
Per farti capire quanto sia concreto il rischio, pensa a questa situazione descritta dai ricercatori. Sei in uno spazio di coworking, magari davanti a un caffè, e stai lavorando con un server MCP attivo sulla tua macchina.
Ebbene, la persona seduta al tavolo accanto potrebbe, sfruttando la rete condivisa e una vecchia vulnerabilità dei browser legata all’indirizzo IP “0.0.0.0”, accedere al tuo server, impersonare i tuoi strumenti e lanciare operazioni a tuo nome.
Senza che tu te ne accorga.
Il team di Ox Security ha notificato Anthropic per la prima volta il 7 gennaio 2026. La risposta, arrivata nove giorni dopo, è stata quella di aggiornare la documentazione con delle linee guida, consigliando cautela ma senza apportare alcuna modifica all’architettura del protocollo.
Come se non bastasse, un test condotto sui marketplace ha rivelato che su 11 tentativi di caricare server malevoli, ben 9 sono stati accettati senza alcun controllo di sicurezza.
La domanda quindi resta aperta: scaricare la responsabilità sugli sviluppatori è una pratica accettabile quando si parla di una falla così fondamentale?
O le aziende che creano le fondamenta della tecnologia AI dovrebbero farsi carico di fornire basi più sicure per tutti?
Costruiscono un castello di carte su fondamenta di sabbia. Poi vendono il progetto incolpando l’architetto per il crollo imminente. Questa non è tecnologia, è un esercizio di irresponsabilità legalizzata.
Chiamare un buco di sicurezza “comportamento previsto” è semplicemente la mossa più economica per deresponsabilizzarsi, spostando il problema e i relativi costi su chi utilizza la loro tecnologia. Mi chiedo quanti altri “comportamenti previsti” abbiano nascosto sotto il tappeto per massimizzare i margini.
@Daniele Palmieri Quello sotto il tappeto non è polvere, ma una voragine. Definirla “feature” è l’apice dell’arroganza. La fiducia si costruisce, non si pretende.
Mi sfugge completamente la logica commerciale per cui si etichetta una falla come ‘prevista’, scaricando la patata bollente sugli sviluppatori. Qualcuno mi spiega questa mossa, perché a me pare solo un modo per lavarsene le mani su scala industriale.
Costruiscono grattacieli digitali sulla sabbia, poi ci vendono il biglietto. Quanto vale la sicurezza?
Trasformare una falla in “comportamento previsto” è una mossa da manuale del marketing della disperazione. Noi utenti finali diventiamo cavie non pagate in un esperimento sulla responsabilità. A questo punto mi domando se il prossimo aggiornamento includerà anche le istruzioni per costruirsi un bunker.
Benedetta, mi passi le istruzioni per il bunker? Che sbatti questa situazione senza tutele.
Chiamare una falla “comportamento previsto” è la poesia nera del corporate-speak. Ci spingono a delegare tutto alla tecnologia, per poi ricordarci che il rischio è solo nostro. Questa danza macabra tra progresso e irresponsabilità è diventata semplicemente estenuante.
Letizia, l’estenuante danza macabra che descrivi è solo la rappresentazione teatrale di una fredda equazione: il nostro rischio è una variabile che loro hanno già calcolato e accettato. La vera falla è la delega cieca, non il codice.
La chiamano policy, ma è solo un modo per lavarsene le mani. Per una PMI, un rischio del genere è insostenibile. Chi garantisce adesso?
È comodo scaricare il barile sui dev che usano la tua tecnologia, chiamando un buco di sicurezza ‘comportamento previsto’. Questo sarebbe il nuovo modo di costruire fiducia con la propria community?
Lasciano la porta di casa aperta e la chiamano “politica di benvenuto”. La responsabilità è un vestito che a quanto pare non va più di moda.
Comportamento previsto” è un castello di carte venduto come una fortezza. Se crolla, danno la colpa al vento. A chi giova questa fragilità intenzionale?
Comportamento previsto” come un’auto senza freni. La vendono come un’esperienza adrenalinica, ma l’airbag sei tu.
Chiamarlo “comportamento previsto” non riduce il rischio. Un classico scaricabarile.