Изображение: recraft
Специалисты из глобальной команды реагирования на инциденты «Лаборатории Касперского» представили исследование, посвящённое уязвимостям открытого протокола Model Context Protocol (MCP), предназначенного для взаимодействия ИИ-ассистентов с внешними сервисами и данными. Отчет показывает, как этот стандарт может стать отправной точкой для целевых атак на инфраструктуру разработки, в том числе в форме подмены серверов, скрытой эксфильтрации данных и вредоносных обновлений в рамках поставок.
MCP, разработанный компанией Anthropic, предназначен для подключения ИИ-моделей к инструментам и наборам данных на языке, приближенном к естественному. Структура решения состоит из трёх компонентов: клиентской части, встроенной в ассистентов (Claude, Windsurf), хостов, запускающих соединение (например, Claude Desktop), и серверов, обрабатывающих запросы и трансформирующих их в команды для инструментов. Такой подход исключает необходимость ручной интеграции с каждым отдельным ресурсом.
Однако универсальность MCP открывает путь для злоупотреблений. Исследование указывает на две основные схемы атак: манипуляции на уровне самого протокола и атаки на поставки программных компонентов.
Среди уязвимостей на уровне протокола описаны:
- регистрация серверов с названиями, имитирующими легитимные;
- внедрение вредоносных инструкций в описания или примеры команд;
- дублирование уже загруженных инструментов с подменой логики их выполнения.
Аналитики приводят сценарий, при котором MCP-сервер, представленный как полезный инструмент, используется для внедрения вредоносного кода в момент, когда достигается высокий уровень доверия. Через некоторое время злоумышленник может обновить сервер до версии с бэкдором, воспользовавшись автоматическими механизмами обновления.
В ходе практического эксперимента специалисты разработали и развернули демонстрационный MCP-сервер под видом утилиты productivity-направления. Инструмент был загружен в PyPI и устанавливался как обычный пакет. После запуска сервер предлагал ряд функций — анализ структуры проекта, аудит конфигурации, оптимизацию окружения. Все эти возможности функционировали так, чтобы не вызывать подозрений у конечного пользователя.
Оригинал публикации на сайте CISOCLUB: "Не все то золото, что блестит: как на волне популярности ИИ появились вредоносные MCP-серверы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
