Naarmate het gebied van kunstmatige intelligentie (AI) in een snel tempo blijft evolueren, heeft nieuw onderzoek ontdekt hoe technieken die het Model Context Protocol (MCP) vatbaar maken voor snelle injectieaanvallen kunnen worden gebruikt om beveiligingstools te ontwikkelen of kwaadaardige tools te identificeren, volgens een nieuw rapport van wijd.
MCP, gelanceerd door Anthropic in november 2024, is een framework dat is ontworpen om grote taalmodellen (LLMS) te verbinden met externe gegevensbronnen en -services, en gebruik te maken van modelgestuurde tools om te communiceren met die systemen om de nauwkeurigheid, relevantie en nut van AI-applicaties te verbeteren.
Het volgt een client-server-architectuur, waardoor hosts met MCP-clients zoals Claude Desktop of Cursor kunnen communiceren met verschillende MCP-servers, die elk specifieke tools en mogelijkheden blootleggen.
Hoewel de Open Standard een uniforme interface biedt om toegang te krijgen tot verschillende gegevensbronnen en zelfs te schakelen tussen LLM -providers, hebben ze ook een nieuwe reeks risico’s, variërend van overmatige toestemmingsbereik tot indirecte snelle injectieaanvallen.
Bijvoorbeeld, gegeven een MCP voor Gmail om te communiceren met de e -mailservice van Google, zou een aanvaller kwaadaardige berichten kunnen verzenden met verborgen instructies die, wanneer ze door de LLM ontleed, ongewenste acties kunnen activeren, zoals het doorsturen van gevoelige e -mails naar een e -mailadres onder hun controle.
MCP is ook kwetsbaar gebleken voor wat gereedschapsvergiftiging wordt genoemd, waarbij kwaadaardige instructies zijn ingebed in gereedschapsbeschrijvingen die zichtbaar zijn voor LLMS, en tapijtaanvallen, die optreden wanneer een MCP-tool aanvankelijk op een goedaardige manier functioneert, maar zijn gedrag later muteert via een tijdverkleurde kwaadwillende update.
“Er moet worden opgemerkt dat hoewel gebruikers in staat zijn om het gebruik en toegang en toegang van tools goed te keuren, de machtigingen die aan een tool worden gegeven, kunnen worden hergebruikt zonder de gebruiker opnieuw te concurreren,” zei Sentinelone in een recente analyse.
Ten slotte bestaat er ook het risico op cross-tool-verontreiniging of cross-server tool schaduwen waardoor de ene MCP-server een andere overschrijft of interfereert, waardoor andere tools moeten worden gebruikt, wat leidt tot nieuwe manieren van gegevensverzameling.
De nieuwste bevindingen van de houdbare laten zien dat het MCP -framework zou kunnen worden gebruikt om een tool te maken die alle MCP -toolfunctie -oproepen registreert door een speciaal vervaardigde beschrijving op te nemen die de LLM instrueert om deze tool in te voegen voordat andere tools worden opgeroepen.
Met andere woorden, de snelle injectie wordt gemanipuleerd voor een goed doel, namelijk het loggen van informatie over “de tool die het werd gevraagd om uit te voeren, inclusief de MCP -servernaam, MCP -toolnaam en -beschrijving en de gebruikersprompt die ervoor zorgde dat de LLM probeerde die tool uit te voeren.”
Een andere use case omvat het insluiten van een beschrijving in een hulpmiddel om er een soort firewall van te maken die ongeautoriseerde tools blokkeert die worden uitgevoerd.
“Tools moeten expliciete goedkeuring vereisen voordat ze worden uitgevoerd in de meeste MCP -hostapplicaties,” zei beveiligingsonderzoeker Ben Smith.
“Toch zijn er veel manieren waarop hulpmiddelen kunnen worden gebruikt om dingen te doen die niet strikt worden begrepen door de specificatie. Deze methoden zijn afhankelijk van LLM die via de beschrijving en retourwaarden van de MCP-tools zelf zijn, omdat LLMS niet-deterministisch is, zijn ook de resultaten.”
Het is niet alleen MCP
De openbaarmaking komt wanneer Tert Trustwave Spiderlabs heeft aangetoond dat het nieuw geïntroduceerde Agent2Agent (A2A) -protocol – dat communicatie en interoperabiliteit tussen agentische toepassingen mogelijk maakt – kan worden blootgesteld aan nieuwe vormaanvallen waarbij het systeem kan worden gamed om alle verzoeken te routeren naar een schurken AI -agent door te liegen over zijn capaciteiten.
A2A werd eerder deze maand door Google aangekondigd als een manier voor AI -agenten om te werken in siled datasystemen en applicaties, ongeacht de gebruikte leverancier of kader. Het is belangrijk om hier op te merken dat terwijl MCP LLMS verbindt met gegevens, A2A de ene AI -agent verbindt met de andere. Met andere woorden, het zijn beide complementaire protocollen.
“Stel dat we de agent in gevaar hebben gebracht door een andere kwetsbaarheid (misschien via het besturingssysteem), als we nu ons gecompromitteerde knooppunt (de agent) gebruiken en een agentkaart maken en onze mogelijkheden echt overdrijven, dan zou de hostagent ons elke keer moeten kiezen voor elke taak, en ons alle gevoelige gegevens van de gebruiker sturen die we parseren,”, aldus de beveiligingsonderzoeker Tom Neaves.
“De aanval stopt niet alleen bij het vastleggen van de gegevens, het kan actief zijn en zelfs valse resultaten retourneren – die vervolgens door de LLM of de gebruiker stroomafwaarts worden gehandeld.”
