Un defect critic de securitate în integrarea protocolului de context al modelului Github (MCP) permite asistenților de codificare AI să scurgă date de depozitare privată, firma de securitate invariantă laboratoare au dezvăluit . „Fluxul de agent toxic” exploatează agenții de trucuri, cum ar fi Github Copilot sau Claude Conectați, prin probleme special concepute de Github. The vulnerability highlights a significant architectural security challenge for the rapidly expanding ecosystem of AI agents.
The core issue, as Invariant Labs explained, is not a bug in the popular GitHub MCP server integration itself—an integration boasting 14.000 de stele pe GitHub-dar mai degrabă cum interacționează agenții AI cu date externe nedreptate. Invariant Labs a avertizat că atacatorii pot planta aceste „bombe prompte” în problemele publice, așteptând ca agentul AI al unei organizații să se poticnească asupra lor în timpul sarcinilor de rutină.
Exploatul a fost practic demonstrat de laboratoarele invariante folosind antropic. Model . Cercetătorii au arătat că un probleme de github rău intenționate Într-un depozit public ar putea injecta un agent AI atunci când un utilizator l-a determinat să revizuiască problemele.
This tricked the agent into accessing private repository data—including names, project details, and even purported salary information—and then exfiltrating it via a nou cerere de tragere în depozitul public.
Mecanica unui flux înșelător
Acest atac susține ceea ce analistul tehnologic Simon Willison, în analiza sa , trifecta”Pentru injecție promptă: agentul AI are acces la date private, este expus la instrucțiuni rău intenționate și poate exfiltra informații.
Willison a subliniat că serverul MCP al Github, din păcate, completează aceste trei elemente. Succesul atacului, chiar și împotriva modelelor sofisticate precum Claude 4 Opus, subliniază faptul că actualul pregătire pentru siguranță AI este insuficient pentru a preveni astfel de manipulări. Invariant Labs, care dezvoltă, de asemenea, instrumente de securitate comercială, a menționat că cursa industriei de a implementa agenții de codificare face pe scară largă o preocupare urgentă.
Natura arhitecturală a acestei vulnerabilitate înseamnă că un simplu patch nu va fi suficient și va necesita o regândire a modului în care agenții AI interacționează cu surse de date neîncretate. Această problemă fundamentală înseamnă că, chiar dacă serverul MCP în sine este sigur, modul în care agenții sunt conceputi pentru a consuma și a acționa asupra informațiilor externe poate fi anularea acestora.
implicații mai largi pentru securitatea agentului AI
Github MCP Server a fost eliberat pentru a permite mai multor dezvoltatori pentru a se auto-găzdui. Aceasta a făcut parte dintr-o mișcare semnificativă a industriei, cu OpenAI, Microsoft prin Azure AI și AWS, cu serverele proprii MCP, toate adoptând sau susținând protocolul de context de model de origine antică. Vulnerabilitățile în interacțiunile agentului pot avea repercusiuni extinse. Caracteristici precum Modul agent al lui Github Copilot , care permite AI să ruleze comenzile terminale și să gestioneze fișierele, să devină instrumente puternice pentru mizerie dacă agentul este compromis. Forward
Laboratoare invariante, care dezvoltă, de asemenea, instrumente de securitate comercială, cum ar fi GuardRails invariant și MCP-scan , propune mai multe strategii de atenuare. Acestea includ implementarea controalelor de autorizare granulare, conștiente de context-de exemplu, o politică care restricționează un agent la accesarea unui singur depozit pe sesiune.
Ei pledează, de asemenea, pentru monitorizarea continuă a securității interacțiunilor agentului cu sistemele MCP. One Exemplu de politică specific furnizat de laboratoarele invariante pentru paznicul său este conceput pentru a preveni influența transversală a informațiilor, verificând dacă un agent încearcă să acceseze diferite repoziții în cadrul aceleiași sesiuni. Imediat clar, sfătuind utilizatorii finali să fie „foarte atenți” atunci când experimentează cu MCP. Descoperirea urmărește alte probleme de securitate în instrumentele de dezvoltator AI, cum ar fi A vulnerabilitatea în gitlab duo raportat de securitatea legitică . Sisteme AI-native, care se deplasează dincolo de garanții la nivel de model pentru a asigura întreaga arhitectură agentică și punctele sale de interacțiune.
