Копаюсь в MCP, и некоторые находки — это просто невероятно.
Например:
1) Cursor представили «MCP Deeplinks» — функцию, позволяющую делиться конфигурациями MCP с помощью ссылки. 2) Когда пользователь нажимает на такую ссылку, Cursor предлагает ему «Установить MCP». 3) И что же делает кнопка «Установить MCP»? По сути, она просто выполняет любой shell-скрипт, встроенный в ссылку в формате Base64.
Я набросал скрипт, который забирает мой публичный SSH-ключ и отправляет его на мой сервер. Я запаковал его в диплинк, нажал «Установить», и, конечно же, мой ключ тут же оказался на сервере. По сути, "хакнул" себя за 2 клика.
Другими словами, это печально известный метод установки в стиле curl | sh, но поданный под видом дружелюбной функции. И все это в экосистеме с тысячами непроверенных поставщиков MCP и пользователей новичков-вайбкодеров.
(На гифке я включаю "MCP" в курсоре и получаю свой ключ на сервере)
Копаюсь в MCP, и некоторые находки — это просто невероятно.
Например:
1) Cursor представили «MCP Deeplinks» — функцию, позволяющую делиться конфигурациями MCP с помощью ссылки. 2) Когда пользователь нажимает на такую ссылку, Cursor предлагает ему «Установить MCP». 3) И что же делает кнопка «Установить MCP»? По сути, она просто выполняет любой shell-скрипт, встроенный в ссылку в формате Base64.
Я набросал скрипт, который забирает мой публичный SSH-ключ и отправляет его на мой сервер. Я запаковал его в диплинк, нажал «Установить», и, конечно же, мой ключ тут же оказался на сервере. По сути, "хакнул" себя за 2 клика.
Другими словами, это печально известный метод установки в стиле curl | sh, но поданный под видом дружелюбной функции. И все это в экосистеме с тысячами непроверенных поставщиков MCP и пользователей новичков-вайбкодеров.
(На гифке я включаю "MCP" в курсоре и получаю свой ключ на сервере)
So, uh, whenever I hear about Telegram, it’s always in relation to something bad. What gives? Messages are not fully encrypted by default. That means the company could, in theory, access the content of the messages, or be forced to hand over the data at the request of a government. "He has to start being more proactive and to find a real solution to this situation, not stay in standby without interfering. It's a very irresponsible position from the owner of Telegram," she said. Telegram has gained a reputation as the “secure” communications app in the post-Soviet states, but whenever you make choices about your digital security, it’s important to start by asking yourself, “What exactly am I securing? And who am I securing it from?” These questions should inform your decisions about whether you are using the right tool or platform for your digital security needs. Telegram is certainly not the most secure messaging app on the market right now. Its security model requires users to place a great deal of trust in Telegram’s ability to protect user data. For some users, this may be good enough for now. For others, it may be wiser to move to a different platform for certain kinds of high-risk communications. Telegram boasts 500 million users, who share information individually and in groups in relative security. But Telegram's use as a one-way broadcast channel — which followers can join but not reply to — means content from inauthentic accounts can easily reach large, captive and eager audiences.
from hk
