Cacat keamanan kritis dalam integrasi Model Context Protocol (MCP) GitHub memungkinkan asisten pengkodean AI untuk membocorkan data repositori pribadi, firma keamanan Invariant Labs. Agen trik”Aliran Agen Beracun”mengeksploitasi, seperti Github Copilot atau instance Claude yang terhubung, melalui masalah GitHub yang dibuat khusus. Kerentanan ini menyoroti tantangan keamanan arsitektur yang signifikan untuk ekosistem agen AI yang berkembang pesat.
Masalah inti, seperti yang dijelaskan laboratorium invarian, bukanlah bug di . Para peneliti menunjukkan bahwa masalah github berbahaya Dalam repositori publik dapat menyuntikkan agen AI ketika pengguna memicunya untuk meninjau masalah.
This tricked the agent into accessing private repository data—including names, project details, and even purported salary information—and then exfiltrating it via a Permintaan tarik baru Di repositori publik.
Mekanisme aliran menipu
Serangan ini memanfaatkan analis teknologi apa Simon Willison, dalam
Willison menunjukkan bahwa server MCP GitHub sayangnya membungkus ketiga elemen ini. Keberhasilan serangan itu, bahkan terhadap model canggih seperti Claude 4 Opus, menggarisbawahi bahwa pelatihan keselamatan AI saat ini saja tidak cukup untuk mencegah manipulasi tersebut. Invarian Labs, yang juga mengembangkan alat keamanan komersial, mencatat bahwa perlombaan industri untuk menggunakan agen pengkodean secara luas menjadikan ini kekhawatiran yang mendesak. Sifat arsitektur dari kerentanan ini berarti bahwa tambalan sederhana tidak akan cukup dan akan memerlukan pemikiran ulang bagaimana agen AI berinteraksi dengan sumber data yang tidak dapat dipercaya. Masalah mendasar ini berarti bahwa bahkan jika server MCP itu sendiri aman, cara agen dirancang untuk mengkonsumsi dan bertindak berdasarkan informasi eksternal dapat menjadi kehancuran mereka. Server MCP resmi GITOP yang memungkinkan pengembang untuk copilot-host-copilot-copilot-copilot. Ini adalah bagian dari gerakan industri yang signifikan, dengan Openai, Microsoft melalui Azure AI, dan AWS dengan server MCP sendiri semuanya mengadopsi atau mendukung protokol konteks model antropik. Tujuannya adalah untuk menyederhanakan pengembangan AI dengan menstandarkan cara-model yang terhubung ke beragam alat dan data, mengganti integrasi kustom. Kerentanan arsitektur dalam interaksi agen dapat memiliki dampak yang luas. Fitur-fitur seperti Mode agen Copilot GitHub , yang memungkinkan AI
Laboratorium invarian, yang juga mengembangkan alat keamanan komersial seperti Invariant gawal dan mcp-scan , mengusulkan beberapa strategi mitigasi. Ini termasuk mengimplementasikan kontrol izin granular, konteks-sadar-misalnya, kebijakan yang membatasi agen untuk mengakses hanya satu repositori per sesi. Mereka juga mengadvokasi pemantauan keamanan berkelanjutan interaksi agen dengan sistem MCP. Satu contoh kebijakan khusus yang disediakan oleh laboratorium invarian untuk pagar yang dirancang untuk tidak ada perbaikan yang sama dengan p> Sistem asli AI, bergerak melampaui perlindungan tingkat model untuk mengamankan seluruh arsitektur agen dan titik interaksinya. Implikasi yang lebih luas untuk keamanan agen AI