Model Context Protocol (MCP), kluczowa technologia dla agentów AI przyjętych przez gigantów takich jak Openai, Microsoft i AWS, zawiera krytyczne podatności bezpieczeństwa, ujawnia nowy raport. Opublikowane przez firmę bezpieczeństwa BackSlash Security, szczegółowe informacje na temat wad, takich jak „NeighborJack”, które ujawnia serwery w sieciach lokalnych.
Znalazł również ryzyko wstrzyknięcia systemu operacyjnego, które mogłyby pozwolić atakującym kontrolować systemy hosta. Powszechne zastosowanie protokołu tworzy znaczącą nową powierzchnię ataku dla całego ekosystemu Agentic AI. W odpowiedzi BackSlash uruchomił centrum bezpieczeństwa publicznego, aby pomóc programistom ocenić ryzyko.
Ta wiadomość podkreśla pilne wyzwanie dla szybko rozwijającej się branży AI, która szybko przyjęła MCP jako standard dla interoperacyjności agresywnej.
Protocol Universal Protocol spotyka krytyczną wadę
Protocol Model Context Protocol po raz pierwszy w listopadzie 2024, wprowadzony przez ANORORPING ANOROLVE A. Rozwój AI. Jak wyjaśnił wówczas antropiczny: „Każde nowe źródło danych wymaga własnej niestandardowej implementacji, co utrudnia skalowanie naprawdę połączonych systemów”. Celem było stworzenie uniwersalnego języka dla modeli AI do łączenia się z narzędziami zewnętrznymi, zastępując integracje na zamówienie.
Pomysł był ogromnym sukcesem. W ciągu kilku miesięcy najwięksi gracze w branży, w tym Microsoft dla Azure AI, AWS z własnymi serwerami open source i Openai, ogłosili wsparcie. Demis Hassabis, dyrektor generalny Google Deepmind, chwalił to, stwierdzając: „MCP jest dobrym protokołem i szybko staje się otwartym standardem dla epoki AI Agentic.”
, ale ta szybka standaryzacja, podczas gdy rozwój zwiększania, wystawił teraz wspólny, kruche fundament. Raport bezpieczeństwa backslash , który przeanalizował tysiące publicznie dostępnych serwerów MCP, znaleziono zagrożone numerze, które były niebezpieczne podwyższone lub nieefektywne.
„sąsiedzki” i ryzyko „toksycznej kombinacji”
Najczęstszą słabością, występującą w setkach przypadków, została nazwana „sąsiedzką”. Według raportu te wrażliwe serwery MCP były wyraźnie związane ze wszystkimi interfejsami sieciowymi (0.0.0.0). Ta prosta, ale krytyczna błędna konfiguracja sprawia, że „serwery MCP, które były wyraźnie związane ze wszystkimi interfejsami sieciowymi (0.0.0.0), dzięki czemu są dostępne dla każdego w tej samej sieci lokalnej.”, Jak zauważył bezpieczeństwo backslash. Druga poważna podatność obejmuje „nadmierne uprawnienia i wtrysk OS”.
Stwierdzono dziesiątki serwerów, aby umożliwić dowolne wykonanie polecenia na komputerze hosta. Ta wada wynika z nieostrożnych praktyk kodowania, takich jak brak dezynfekcji wejściowej podczas przekazywania poleceń do powłoki systemowej. Rzeczywiste ryzyko jest poważne.
Jak stwierdził zabezpieczenia BackSlash w swoich ustaleniach: „Serwer MCP może uzyskać dostęp do hosta, który uruchamia MCP i potencjalnie umożliwia zdalnemu użytkownikowi kontrolowanie systemu operacyjnego”. Naukowcy ostrzegają, że gdy te dwie wady są obecne na tym samym serwerze, wynikiem jest „krytyczna toksyczna kombinacja”. Raport przestrzega: „Gdy ekspozycja sieciowa spełnia nadmierne uprawnienia, otrzymujesz idealną burzę.”, Pozwalając złośliwemu aktorowi przejąć pełną kontrolę nad gospodarzem.
Blind punktów w branży i poprzednie ostrzeżenia
Implikacje bezpieczeństwa są powiększone przez Swift i szeroką adopcję MCP. Protokół jest zintegrowany głęboko z przepływami pracy programistów, od kodu VS Microsoft po API odpowiedzi Openai. Ta powszechna integracja oznacza, że podatność na protokołu nie jest problemem izolowanym, ale ryzykiem systemowym.
Niepokojąco nie jest to pierwsza czerwona flaga dotycząca architektury bezpieczeństwa MCP. W maju firmy Security Invariant Labs odkryło krytyczną lukę w popularnym serwerze MCP GitHub. Nazwany „przepływem toksycznego agenta”, exploit pozwolił na oszukanie agenta AI do wycieku prywatnych danych repozytorium.
Atak działał poprzez sadzenie złośliwych instrukcji w publicznym wydaniu Github, które agent wykonałby wówczas. Analityk technologii Simon Willison analizował exploit , dzwoniąc do sytuacji „lethal trifecta pod kątem podpowiedzi: ai agent ma dostęp do danych prywatnych, jest narażone na niewłaściwe instrukcje, które mogą wyświetlić informacje. Ten wcześniejszy incydent podkreślił, że sposób, w jaki agenci wchodzą w interakcje z niezaufalonymi danymi, jest fundamentalnym słabym punktem.
Te powtarzające się ostrzeżenia sugerują, że wyścig branży o budowie potężnych, autonomicznych agenci wyprzedził rozwój solidnych ram bezpieczeństwa potrzebnych do ich kontrolowania. Skupiono się na zdolnościach, niekoniecznie na bezpieczeństwie tkanki łącznej.
Wysiłki łagodzące i mcp Security Hub
w odpowiedzi na jego ustalenia, Backslash Security zajął działanie MCP Security przez