Un observatoire de sécurité révèle 502 serveurs MCP vulnérables sans épinglage de version npm

Un observatoire de sécurité a révélé 502 serveurs MCP vulnérables, des outils pour protocoles d’agents d’intelligence artificielle (IA) comme Claude Desktop ou Cursor, lors de scans sur sept registres en ligne tels que skills.sh, ClawHub ou mcp.so. Ces serveurs utilisent des configurations npm sans épinglage de version et invoquent npx -y, un utilitaire Node.js qui installe et exécute le paquet le plus récent sans confirmation ni fixation précise. À chaque démarrage d’un agent, le code le plus actuel est téléchargé automatiquement, exposant les machines à des mises à jour malveillantes potentielles. Ce problème rappelle l’incident de 2018 avec le paquet npm event-stream, compromis pour cibler un portefeuille Bitcoin après des millions de téléchargements, un seul mainteneur vulnérable ayant suffi à causer des dommages étendus. Les scans de l’observatoire couvrent plus de 42 000 outils dans ces sept registres MCP et appliquent 148 règles de détection toutes les 6 heures. L’absence d’épinglage, comme « some-mcp-server@1.2.3 », laisse la porte ouverte à des attaques par confusion de dépendances ou usurpation de noms (typosquatting), des vecteurs bien connus dans l’écosystème npm. Contrairement aux outils web isolés dans un environnement sandboxé, les serveurs MCP accèdent au shell de l’utilisateur, au système de fichiers et aux identifiants, amplifiant le rayon d’impact à l’ensemble de la machine hôte. Dans l’écosystème npm, les bonnes pratiques exigent depuis longtemps des versions fixes pour éviter ces pièges, une leçon apprise à la dure après des incidents répétés. Les développeurs d’agents IA, en phase d’adoption rapide avec des outils comme Claude Desktop ou Cursor, risquent de reproduire ce cycle sans mesures proactives renforcées. L’observatoire, un logiciel libre sous licence Apache-2.0, est accessible en ligne pour tous. Les utilisateurs de serveurs MCP peuvent y analyser leurs configurations afin d’identifier ces failles et les corriger en ajoutant des épingles de version précises, telles que « some-mcp-server@1.2.3 ». Cette plateforme open source favorise une sécurité collective dans l’écosystème émergent des agents IA, en encourageant les bonnes pratiques avant que des attaques ne se produisent.