Het Model Context Protocol (MCP), een belangrijke technologie voor AI-agenten die zijn aangenomen door reuzen zoals Openai, Microsoft en AWS, bevat kritische beveiligingskwetsbaarheden, onthult een nieuw rapport. Gepubliceerd door beveiligingsbedrijf Backslash Security, de onderzoeksfouts zoals”buurvrouw”, die servers op lokale netwerken blootlegt.
Het vond ook OS-injectierisico’s waarmee aanvallers hostsystemen konden controleren. Het wijdverbreide gebruik van het protocol creëert een belangrijk nieuw aanvalsoppervlak voor het gehele AIDIC AI-ecosysteem. In reactie hierop heeft Backslash een openbare beveiligingshub gelanceerd om ontwikkelaars te helpen risico te beoordelen.
Dit nieuws benadrukt een dringende uitdaging voor de snelgroeiende AI-industrie, die MCP snel heeft omarmd als een standaard voor agentische interoperabiliteit.
een universeel protocol ontmoet een kritische flaw
Het model context protocol protocol in november 2024, geïntroduceerd door anthropisch AI-ontwikkeling. Zoals Anthropic destijds uitlegde:”Elke nieuwe gegevensbron vereist zijn eigen aangepaste implementatie, waardoor echt verbonden systemen moeilijk op te schalen zijn.”Het doel was om een universele taal te maken voor AI-modellen om verbinding te maken met externe tools, ter vervanging van op maat gemaakte integraties.
Het idee was een volmonds succes. Binnen enkele maanden kondigden de grootste spelers van de industrie, waaronder Microsoft voor Azure AI, AWS met zijn eigen open-source-servers en Openai, ondersteuning aan. Google Deepmind CEO Demis Hassabis prees het en verklaarde:”MCP is een goed protocol en het wordt snel een open standaard voor het AI Agentic-tijdperk.”
Maar deze snelle standaardisatie, hoewel de ontwikkeling stimuleert, heeft nu een gedeelde, fragiele basis blootgesteld. Het backslash-beveiligingsrapport , dat duizenden openbare MCP-servers heeft gevonden, vonden een begravend nummer dat een groter worden gemiliteerd of claimloos gebouwd.
‘buurjack’ en het risico van een ‘giftige combinatie’
De meest voorkomende zwakte, gevonden in honderden gevallen, is”buurjack”genoemd. Volgens het rapport waren deze kwetsbare MCP-servers expliciet gebonden aan alle netwerkinterfaces (0,0.0.0). Deze eenvoudige maar kritische misconfiguratie maakt ze”MCP-servers die expliciet gebonden waren aan alle netwerkinterfaces (0.0.0.0), waardoor ze toegankelijk zijn voor iedereen op hetzelfde lokale netwerk.”, Zoals opgemerkt door Backslash Security.
Dit opent de deur voor iedereen van een collega in een gedeelde kantoor op een openbare Wi-netwerk tot een openbare WI-netwerk tot een openbare Wi-netwerk tot een openbare WI-netwerk tot een openbare Wi-netwerk tot een openbare Wi-netwerk. De tweede grote kwetsbaarheid omvat”overmatige machtigingen en OS-injectie.”
tientallen servers bleken willekeurige uitvoering van de opdracht op de hostmachine mogelijk te maken. Deze fout komt voort uit zorgeloze coderingspraktijken, zoals een gebrek aan input sanering bij het doorgeven van commando’s aan een systeemschaal. Het real-world risico is ernstig.
Zoals BackSlash-beveiliging vermeldde in de bevindingen:”De MCP-server heeft toegang tot de host die de MCP uitvoert en mogelijk een externe gebruiker toestaat uw besturingssysteem te besturen.”De onderzoekers waarschuwen dat wanneer deze twee fouten aanwezig zijn op dezelfde server, het resultaat een”kritische toxische combinatie”is. Het rapport waarschuwt:”Wanneer de blootstelling aan netwerk voldoet aan buitensporige machtigingen, krijgt u de perfecte storm.”, Waardoor een kwaadwillende acteur de volledige controle over de gastheer kunt nemen.
Een industriële brede blinde vlek en eerdere waarschuwingen
De veiligheidsimplicaties worden vergroot door MCP’s Swift en brede adoptie. Het protocol wordt diep geïntegreerd in ontwikkelaarsworkflows, van de VS-code van Microsoft tot Openai’s Antwoorden API. Deze wijdverbreide integratie betekent dat een kwetsbaarheid in het protocol geen geïsoleerd probleem is, maar een systemisch risico.
Storend is dit niet de eerste rode vlag met betrekking tot de beveiligingsarchitectuur van MCP. In mei ontdekten beveiligingsbedrijf Invariant Labs een kritieke kwetsbaarheid in de populaire MCP-server van GitHub. Nagesynchroniseerd de”giftige agentstroom”, stond de exploit toe dat een AI-agent werd misleid in lekkende private repository-gegevens.
De aanval werkte door kwaadaardige instructies te planten in een openbaar GitHub-probleem, dat de agent dan zou uitvoeren. Technology analyst Simon Willison analyzed the exploit, calling the situation “a lethal trifecta for prompt injection: the AI agent has access to private data, is exposed to malicious instructions, and can exfiltrate information.”Dit eerdere incident benadrukte dat de manier waarop agenten omgaan met niet-vertrouwde gegevens een fundamenteel zwak punt is.
Deze herhaalde waarschuwingen suggereren dat de race van de industrie om krachtige, autonome agenten te bouwen de ontwikkeling van de robuuste beveiligingskaders heeft overtroffen die nodig zijn om ze te beheersen. De focus lag op mogelijkheden, niet noodzakelijkerwijs op de beveiliging van het bindweefsel.
mitigatie-inspanningen en de MCP Security Hub
In reactie op de bevindingen heeft BackSlash Security een proactieve stap gebracht door
Deze omvatten het valideren van alle externe ingangen, het beperken van de toegang tot bestandssystemen en het verkiezen van veiliger transportmethoden zoals STDIO voor lokale tools in plaats van ze bloot te stellen via een netwerk. Andere experts zien dit als onderdeel van een groter probleem met de fragiele vertrouwenslaag van AI.
De belofte van een gestandaardiseerd protocol zoals MCP blijft krachtig. Deze beveiligings onthullingen dienen echter als een kritische wake-up call. Voor MCP om de beveiligde”USB-C-haven voor AI”te worden die zijn makers voor ogen hadden, moet de industrie nu zijn focus verleggen van snelle acceptatie naar het opbouwen van een veerkrachtiger en veilig agentisch ecosysteem.
