Protocolul de context al modelului (MCP), o tehnologie cheie pentru agenții AI adoptați de giganți precum OpenAI, Microsoft și AWS, conține vulnerabilități critice de securitate, dezvăluie un nou raport. Publicat de firma de securitate Backslash Security, cercetarea detaliază defecte precum „Vecinjack”, care expune serverele pe rețelele locale.
a găsit, de asemenea, riscuri de injecție a sistemului de operare care ar putea permite atacatorilor să controleze sistemele gazdă. Utilizarea pe scară largă a protocolului creează o nouă suprafață semnificativă de atac pentru întregul ecosistem AI agent. Ca răspuns, Backslash a lansat un hub de securitate publică pentru a ajuta dezvoltatorii să evalueze riscul.
Această știre evidențiază o provocare urgentă pentru industria AI cu creștere rapidă, care a îmbrățișat rapid MCP ca standard pentru interoperabilitatea agentică.
A Universal Protocol Meets a Critical Flaw
The Model Context Protocol first emerged in November 2024, introduced by Anthropic to solve a nagging problem in AI Dezvoltare. După cum a fost explicat antropic la acea vreme, „Fiecare sursă de date nouă necesită propria implementare personalizată, ceea ce face ca sistemele cu adevărat conectate să fie dificil de extins”. Scopul a fost crearea unui limbaj universal pentru modelele AI pentru a se conecta cu instrumente externe, înlocuind integrările personalizate.
Ideea a fost un succes răsunător. În câteva luni, cei mai mari jucători ai industriei, inclusiv Microsoft pentru Azure AI, AWS cu propriile sale servere open-source și OpenAI, au anunțat sprijinul. Demis Hassabis, CEO-ul Google Deepmind, a declarat, „MCP este un protocol bun și devine rapid un standard deschis pentru era agentică AI. Raportul de securitate backslash , care a analizat mii de servere MCP disponibile public, găsite un număr uimitor a fost periculos de configurare a greșelii periculoase sau construite fără atenție.
„vecinul” și riscul unei „combinații toxice”
Cea mai frecventă slăbiciune, găsită în sute de cazuri, a fost supranumită „Vecinejack”. Conform raportului, aceste servere MCP vulnerabile au fost legate în mod explicit de toate interfețele de rețea (0.0.0.0). Această configurație greșită simplă, dar critică, îi face „servere MCP care au fost legate în mod explicit de toate interfețele de rețea (0.0.0.0), ceea ce le face accesibile oricui din aceeași rețea locală.”, După cum a menționat securitatea backslash.
Aceasta deschide ușa pentru oricine de la un coleg de lucru într-un birou partajat pentru un atacator al unui atacant al unei rețele WI-FI publice. A doua vulnerabilitate majoră implică „permisiuni excesive și injecție de sistem de operare”. Acest defect provine din practicile de codificare nepăsătoare, cum ar fi lipsa igienizării de intrare atunci când treceți comenzi către o shell de sistem. Riscul din lumea reală este sever.
după cum a declarat securitatea backslash în concluziile sale, „Serverul MCP poate accesa gazda care rulează MCP și poate permite unui utilizator de la distanță să vă controleze sistemul de operare”. Cercetătorii avertizează că atunci când aceste două defecte sunt prezente pe același server, rezultatul este o „combinație toxică critică”. Raportul avertizează: „Când expunerea la rețea îndeplinește permisiuni excesive, obțineți furtuna perfectă. Protocolul este integrat în profunzime în fluxurile de lucru pentru dezvoltatori, de la codul VS al Microsoft la API-ul OpenAI. Această integrare pe scară largă înseamnă că o vulnerabilitate în protocol nu este o problemă izolată, ci un risc sistemic.
tulburător, acesta nu este primul steag roșu în ceea ce privește arhitectura de securitate a MCP. În luna mai, firma de securitate Invariant Labs a descoperit o vulnerabilitate critică în popularul server MCP al Github. Numit „fluxul de agent toxic”, exploatarea a permis unui agent AI să fie păcălit să scurgă date de depozit privat.
Atacul a funcționat prin plantarea instrucțiunilor rău intenționate într-o problemă publică Github, pe care agentul o va executa apoi. Technology analyst Simon Willison analyzed the exploit, calling the situation “a lethal trifecta for prompt injection: the AI agent has access to private data, is exposed to malicious instructions, and can exfiltrate informații.”Acest incident anterior a subliniat că modul în care agenții interacționează cu datele neîncredute este un punct fundamental slab.
Aceste avertismente repetate sugerează că cursa industriei pentru a construi agenți autonomi puternici au depășit dezvoltarea cadrelor de securitate robuste necesare pentru a le controla. Concentrația a fost pusă pe capacitate, nu neapărat pe securitatea țesutului conjunctiv.
eforturile de atenuare și MCP Security Hub
Ca răspuns la constatările sale, securitatea backslash a făcut un pas proactiv de a lansat securitatea MCP.Security/”Target=”__ Blank”> Lansarea Securității MCP.Security/”Target=”__ Blank”> Lansând securitatea MCP.Security/”target=”__ Blank”> Lansând securitatea MCP.Security/”Target=”__ Blank”> Lansând securitatea MCP.Security/”target=”ice Hub . Această platformă este prima bază de date de securitate care poate fi căutat public dedicat serverelor MCP, marcând-le pe baza posturii lor de risc și a detaliilor potențialelor puncte slabe.
Firma, prin intermediul
Acestea includ validarea tuturor intrărilor externe, restricționarea accesului sistemului de fișiere și preferința metodelor de transport mai sigure, cum ar fi STDIO pentru instrumentele locale, în loc să le expună printr-o rețea. Alți experți văd acest lucru ca parte a unei probleme mai mari cu stratul fragil de încredere al AI.
Promisiunea unui protocol standardizat precum MCP rămâne puternică. Cu toate acestea, aceste revelații de securitate servesc ca un apel critic de trezire. Pentru ca MCP să devină „portul USB-C pentru AI” pe care creatorii săi l-au prevăzut, industria trebuie să-și schimbe acum atenția de la adopția rapidă la construirea unui ecosistem agent agent mai rezistent și mai sigur.