Ecossistema de copiloto do github atingido pela falha crítica de segurança do servidor MCP

Uma falha crítica de segurança na integração do protocolo de contexto de modelo do Github (MCP) permite que os assistentes de codificação de IA vazem dados de repositório privado, Blanks InvariTs Reveled . O”fluxo do agente tóxico”explora agentes de truques, como o GitHub Copilot ou as instâncias de Claude conectadas, através de problemas especialmente criados no Github. A vulnerabilidade destaca um desafio de segurança arquitetônico significativo para o ecossistema em rápida expansão dos agentes da IA. 14.000 estrelas no Github-mas como os agentes de IA interagem com dados externos não confiáveis. Os laboratórios invariantes alertaram que os invasores podem plantar essas”bombas imediatas”em questões públicas, aguardando o agente de IA de uma organização tropeçando nelas durante tarefas de rotina. modelo . Os pesquisadores mostraram que A Problema malicioso do github Em um repositório público, pode injetar um agente de IA quando um usuário solicitou a revisar questões.

This tricked the agent into accessing private repository data—including names, project details, and even purported salary information—and then exfiltrating it via a nova solicitação de puxar No repositório público. 

The Mechanics Of A Deceptive Flow

This attack leverages what technology analyst Simon Willison, in his analysis, termed a “lethal Trifecta”Para injeção imediata: o agente de IA tem acesso a dados privados, é exposto a instruções maliciosas e pode exfiltrar as informações. O sucesso do ataque, mesmo contra modelos sofisticados como Claude 4 Opus, ressalta que o treinamento atual de segurança da IA ​​é insuficiente para evitar tais manipulações. Os laboratórios invariantes, que também desenvolvem ferramentas de segurança comercial, observaram que a corrida do setor para implantar agentes de codificação torna isso uma preocupação urgente. Esse problema fundamental significa que, mesmo que o próprio servidor MCP esteja seguro, a maneira como os agentes são projetados para consumir e agir em informações externas podem ser sua ruína. Isso fazia parte de um movimento significativo da indústria, com o OpenAI, Microsoft através do Azure AI e AWS com seus próprios servidores MCP, todos adotando ou suportando o protocolo de contexto de modelo original-original. As vulnerabilidades nas interações dos agentes podem ter extensas repercussões. Recursos como github copilot de modo , que permite que o Terminal executado e gerencie Misused, se o que se une a um dos comandos e gerencie . Forward

Laboratórios invariantes, que também desenvolve ferramentas de segurança comercial como invariant guardrails e mcp-scan , propõe várias estratégias de mitigação. Isso inclui a implementação dos controles de permissão granular e com reconhecimento de contexto-por exemplo, uma política que restringe um agente a acessar apenas um repositório por sessão.

Eles também defendem o monitoramento contínuo de segurança das interações dos agentes com os sistemas MCP. Um Exemplo de política específica fornecido por Laboratórios Invariantes para o SILTRAILS, o que é um dos positivos de que o FILT é o que é um agente para acessar os diferentes depositórios em que o FELT em que o FILT é um agente para acessar os diferentes relatos de que o FELTEN. Não está imediatamente claro, aconselhar os usuários finais a ter”muito cuidado”ao experimentar o MCP. A descoberta segue outras preocupações de segurança nas ferramentas de desenvolvedor de IA, como a