Krytyczna wada bezpieczeństwa w integracji Model Context Protocol (MCP) pozwala asystentom kodowania AI wyciekanie prywatnych danych repozytorium, niewidoczne laboratorium ochrony ujawniono . „Toksyczny przepływ środka” wykorzystuje triki, takie jak Github Copilot lub Connected Claude, poprzez specjalnie wykonane problemy GitHub. Podatność podkreśla znaczące wyzwanie bezpieczeństwa architektonicznego dla szybko rozwijającego się ekosystemu agentów AI.
Podstawowy problem, jak wyjaśnił niezmienne laboratoria, nie jest błędem w
Exploit został praktycznie zademonstrowany przez niezmienne laboratoria za pomocą . Naukowcy wykazali, że a złośliwe wydanie github w publicznym repozytorium może wstrzyknąć agenta AI, gdy użytkownik skłonił go do przeglądu problemów. To oszukuło agenta do dostępu do prywatnych danych repozytorium-w tym nazwiska, szczegółowe href=”https://github.com/ukend0464/pacman/pull/2″target=”_ puste”> nowe żądanie Pull
Mechanika zwodniczego przepływu
Ten atak wykorzystuje, który analityk technologii Simon Willison, w
Willison wskazał, że serwer MCP Github niestety pakuje te trzy elementy. Sukces ataku, nawet przeciwko wyrafinowanym modelom, takim jak Claude 4 Opus, podkreśla, że same obecne szkolenie bezpieczeństwa AI jest niewystarczające, aby zapobiec takim manipulacjom. Niezależne laboratoria, które opracowują również komercyjne narzędzia bezpieczeństwa, zauważyło, że wyścig branży w celu wdrażania agentów kodujących sprawia, że jest to pilne obawy. Architektoniczny charakter tej podatności oznacza, że prosta łatka nie wystarczy i będzie wymagała przemyślenia sposobu interakcji agentów AI. Ten fundamentalny problem oznacza, że nawet jeśli sam serwer MCP jest bezpieczny, sposób, w jaki agenci są zaprojektowane do konsumpcji i działania na podstawie informacji zewnętrznych, może być ich cofnięciem. Oficjalny serwer MCP GitHub został wydany, aby umożliwić programistom samowystarczalnemu kompozycjom, opracowując więcej interperatorów AI. Było to częścią znaczącego ruchu branżowego, z Openai, Microsoft poprzez Azure AI i AWS z własnymi serwerami MCP, wszystkie przyjmujące lub wspierające antropijne zorigowane modele protokoły kontekstowe. Celem było uproszczenie rozwoju sztucznej inteligencji poprzez standaryzację, w jaki sposób modele łączą się z różnorodnymi narzędziami i danymi, zastępując wiele niestandardowych integracji. Podatności w interakcjach agentów mogą mieć obszerne konsekwencje. Funkcje takie jak tryb agenta github Copilota , który pozwala AI uruchamianie poleceń terminalu i zarządzania plikami, stać się produktami potężnymi do niewłaściwego użytkowania. Napastnik
niezmienne laboratoria, które opracowują również komercyjne narzędzia bezpieczeństwa, takie jak mcp-scan , proponuje kilka strategii łagodzenia. Obejmują one wdrażanie szczegółowych kontroli uprawnień kontekstowych-na przykład zasady ograniczające agenta do dostępu do tylko jednego repozytorium na sesję. Opowiadają się również za ciągłym monitorowaniem bezpieczeństwa interakcji agenta z systemami MCP. Jeden konkretny przykład zasad Dostarczone przez niezmienne laboratoria dla jego poręczy zapobiegają przecieku informacji międzyrepozytowych poprzez sprawdzenie, czy agent próbuje uzyskać dostęp do różnych repozytoriów w tej samej sesji. Nie jest od razu jasne, doradzając użytkownikom końcowym, aby byli „bardzo ostrożni” podczas eksperymentu z MCP. Odkrycie jest zgodne z innymi obawami bezpieczeństwa w narzędziach programisty AI, takich jak podatność w gitlab Duo zgłoszone przez legit Security . Systemy natywne AI, wykraczające poza zabezpieczenia na poziomie modelu, aby zabezpieczyć całą architekturę agencyjną i jej punkty interakcji. szersze implikacje dla bezpieczeństwa agenta AI