נחשפה חולשת אבטחה באנת'רופיק

פרצת אבטחה נחשפה באחרונה בכלי של אנת'רופיק (Anthropic). את הפרצה חשפו חוקרי סייאטה (Cyata) הישראלית. מדובר בשרת שמחבר מערכות AI למאגרי קוד (Git) ושימש כמודל ייחוס למפתחים ברחבי העולם. למרות שהכלי הפגיע הוסר ותוקן בדצמבר 2025, הרי שלפי החוקרים, "מיליוני פריסות ישנות עלולות להיות חשופות היום – אם הן לא שודרגו".

Breaking Anthropic’s Official MCP Server – https://t.co/9HXipaQ5Yf@TeamCyata discovered three security vulnerabilities in mcp-server-git, the official Git MCP server maintained by Anthropic. These flaws can be exploited through prompt injection, meaning an attacker who can…

— AISecHub (@AISecHub) January 20, 2026

לפי החוקרים, תוקף עלול להשתלט על מחשבים ושרתים בלא גישה ישירה אליהם, אלא רק באמצעות מניפולציה של טקסט שה-AI קוראת, כמו קובץ README, תיאור פרויקט או דף אינטרנט. די בכך כדי שהתוקף ישכנע את ה-AI לבצע פעולות מסוכנות, וכך יגרום למחיקת קבצים או להרצת נוזקה.

חולשות האבטחה נמצאו ב-mcp-server-git, שרת ה-Git MCP – Model Context Protocol הרשמי של אנת'רופיק.

החוקרים הסבירו כי "כאשר החולשות משולבות זו עם זו ויחד עם שרת ה-Filesystem MCP, הן מאפשרות הרצת קוד מרחוק (RCE). יכולת זו מופעלת כולה באמצעות Prompt injection, בלא צורך בגישה ישירה למערכת של הקורבן".

החוקרים של סייאטה זיהו שלוש חולשות נפרדות המשפיעות על גרסאות של mcp-server-git שקדמו ל-18 בדצמבר 2025, המועד בו תוקנה החולשה.

תוקף שיכול להשפיע על התוכן שה-AI קוראת, עלול לנצל את הכשלים כדי לקרוא או למחוק קבצים במערכות הקורבן, ואף להריץ נוזקה על המערכת המארחת. החוקרים הוסיפו כי השרת הפגוע נועד להדגים למפתחים את הדרך הנכונה והמאובטחת לבניית אינטגרציות MCP.

מימין לשמאל: דרור רוט, סמנכ"ל הפיתוח; שחר טל, המנכ"ל; וברוך ויצמן, סמנכ"ל הטכנולוגיות, סייאטה. צילום: אריק סולטן

"זה סימן שכל תחום ה-MCP זקוק לבחינה מעמיקה יותר"

ה-Security Advisory – פרסום החולשות הרשמי של GitHub – סווג את החולשות בדרגת חומרה בינונית (6.3-6.5), לפי CVSS 4.0. מאגר ה-advisories של GitLab סווג אותן כחומרה גבוהה (7.1-8.8) לפי CVSS 3.1.

"זהו שרת ה-Git MCP הרשמי מבית אנת'רופיק, וככזה הוא משמש כמודל הסטנדרט וכרפרנס מקצועי עבור מפתחים – זה שמעתיקים ממנו או שואבים ממנו השראה", אמר שחר טל, מייסד-שותף ומנכ"ל סייאטה. "אם גבולות האבטחה נפרצים אפילו כאן, זה סימן שכל תחום ה-MCP זקוק לבחינה מעמיקה יותר. אלה לא מקרי קצה או קונפיגורציות אקזוטיות – אלא בתוך הליבה".

"המחקר ממחיש איך תפישות מסורתיות לגבי גבולות אמון (Trust Boundaries) פשוט מתפרקות ברגע שמודלי שפה הופכים לחלק מתהליך קבלת ההחלטות", אמר ברוך ויצמן, מייסד-שותף ו-CTO בסייאטה. "כלים שנחשבים בטוחים כשהם עומדים בפני עצמם – הופכים לסיכון משמעותי ברגע שלתוקף יש שליטה על הקלטים (Inputs) של המודל".

החוקרים סיימו בהמלצה לארגונים "לשדרג באופן מיידי לגרסה העדכנית של mcp-server-git; להתייחס לכל הארגומנטים של כלי MCP כקלט לא מהימן; להגביל אישורי הפעלה לשרתי MCP; ולהעריך הרשאות של סוכנים באופן כולל ולא פרטני".