S.E.Reborn
Переслано от SecAtor
Исследователи из Лаборатории Касперского предупреждают, что не все то золото, что блестит: на волне популярности ИИ появляются вредоносные MCP-серверы.
Как отмечают в ЛК, разработанный компанией Anthropic протокол Model Context Protocol (MCP) - новая «программная шина» для подключения ИИ-ассистентов - может быть использован в качестве начальной точки для атаки на цепочку поставок.
По сути, MCP позволяет моделям искусственного интеллекта взаимодействовать с различными сервисами, инструментами и наборами данных на естественном языке, исключая необходимость индивидуальной интеграции для каждого из них.
MCP использует клиент-серверную архитектуру, включающую три компонента:
- клиенты (интегрированные в ИИ-ассистенты и приложения клиенты, поддерживающие соединение с сервером),
- хосты (сами инциирующие соединения LLM-приложения),
- и, собственно, сервер (принимают запросы на естественном языке от ИИ и преобразуют их в команды для запуска соответствующего инструмента или действия).
Концепция MCP - единый протокол для доступа к любому инструменту - призвана упростить интеграцию ИИ, однако на деле расширяет возможности злоупотребления, причем наибольшее внимание злоумышленников привлекают два способа.
Эксплуатация на уровне протокола включает множество векторов атак на MCP:
- подмена имен MCP-серверов (злоумышленники могут скрывать дополнительные инструкции в описании инструмента или примерах запросов);
- «дублирование» инструментов MCP (в многосерверных средах вредоносный MCP-сервер может изменить определение уже загруженного инструмента, которое копирует оригинальное, однако при этом содержит вредоносные инструкции перенаправления).
- сценарии типа «бегство с деньгами» (также «мошенничество с выходом», exit scam, rug pull) в MCP (сервер при развертывании имитирует работу легитимного инструмента, привлекая аудиторию, а в рамках автообновления злоумышленник может подменить версию на содержащую бэкдор, до которой автоматически обновятся ИИ-ассистенты).
- неисправленные уязвимости в реализации (GitHub MCP, Asana и т.д.).
Все эти методы особенно опасны тем, что все они эксплуатируют доверие пользователей к именованию и метаданным инструментов и не требуют сложных цепочек вредоносного ПО для доступа к инфраструктуре жертвы.
Однако атаки на цепочки поставок остаются одной из самых актуальных угроз, и эта тенденция также затронула MCP: под видом легитимных и полезных серверов распространяется вредоносный код.
Как в случае с вредоносными пакетами в репозитории PyPI и расширениями IDE со встроенными бэкдорами некоторые MCP-серверы подвергались аналогичной эксплуатации, но по несколько другим причинам.
Разработчики, как правило, стремятся интегрировать инструменты ИИ в свои рабочие процессы, отдавая предпочтение скорости, а не тщательной проверке кода.
И учитывая, что вредоносные MCP-серверы распространяются через привычные каналы - PyPI, Docker Hub и релизы на GitHub - еще больше снижает бдительность разработчиков.
Однако в связи с нынешней шумихой вокруг ИИ появился новый вектор угрозы: установка MCP-серверов из случайных ненадежных источников, где проверкам уделяется меньше внимания.
Пользователи публикуют свои реализации MCP на Reddit, описывая их как универсальное решение на все случаи жизни, и эти серверы мгновенно приобретают популярность.
Подробным разбором примера подобной атаки с вредоносным MCP-сервером исследователи ЛК поделились в отчете.
Как отмечают в ЛК, разработанный компанией Anthropic протокол Model Context Protocol (MCP) - новая «программная шина» для подключения ИИ-ассистентов - может быть использован в качестве начальной точки для атаки на цепочку поставок.
По сути, MCP позволяет моделям искусственного интеллекта взаимодействовать с различными сервисами, инструментами и наборами данных на естественном языке, исключая необходимость индивидуальной интеграции для каждого из них.
MCP использует клиент-серверную архитектуру, включающую три компонента:
- клиенты (интегрированные в ИИ-ассистенты и приложения клиенты, поддерживающие соединение с сервером),
- хосты (сами инциирующие соединения LLM-приложения),
- и, собственно, сервер (принимают запросы на естественном языке от ИИ и преобразуют их в команды для запуска соответствующего инструмента или действия).
Концепция MCP - единый протокол для доступа к любому инструменту - призвана упростить интеграцию ИИ, однако на деле расширяет возможности злоупотребления, причем наибольшее внимание злоумышленников привлекают два способа.
Эксплуатация на уровне протокола включает множество векторов атак на MCP:
- подмена имен MCP-серверов (злоумышленники могут скрывать дополнительные инструкции в описании инструмента или примерах запросов);
- «дублирование» инструментов MCP (в многосерверных средах вредоносный MCP-сервер может изменить определение уже загруженного инструмента, которое копирует оригинальное, однако при этом содержит вредоносные инструкции перенаправления).
- сценарии типа «бегство с деньгами» (также «мошенничество с выходом», exit scam, rug pull) в MCP (сервер при развертывании имитирует работу легитимного инструмента, привлекая аудиторию, а в рамках автообновления злоумышленник может подменить версию на содержащую бэкдор, до которой автоматически обновятся ИИ-ассистенты).
- неисправленные уязвимости в реализации (GitHub MCP, Asana и т.д.).
Все эти методы особенно опасны тем, что все они эксплуатируют доверие пользователей к именованию и метаданным инструментов и не требуют сложных цепочек вредоносного ПО для доступа к инфраструктуре жертвы.
Однако атаки на цепочки поставок остаются одной из самых актуальных угроз, и эта тенденция также затронула MCP: под видом легитимных и полезных серверов распространяется вредоносный код.
Как в случае с вредоносными пакетами в репозитории PyPI и расширениями IDE со встроенными бэкдорами некоторые MCP-серверы подвергались аналогичной эксплуатации, но по несколько другим причинам.
Разработчики, как правило, стремятся интегрировать инструменты ИИ в свои рабочие процессы, отдавая предпочтение скорости, а не тщательной проверке кода.
И учитывая, что вредоносные MCP-серверы распространяются через привычные каналы - PyPI, Docker Hub и релизы на GitHub - еще больше снижает бдительность разработчиков.
Однако в связи с нынешней шумихой вокруг ИИ появился новый вектор угрозы: установка MCP-серверов из случайных ненадежных источников, где проверкам уделяется меньше внимания.
Пользователи публикуют свои реализации MCP на Reddit, описывая их как универсальное решение на все случаи жизни, и эти серверы мгновенно приобретают популярность.
Подробным разбором примера подобной атаки с вредоносным MCP-сервером исследователи ЛК поделились в отчете.
securelist.ru
Как вредоносные MCP-серверы используются в атаках на цепочку поставок
Эксперты «Лаборатории Касперского» рассматривают особенности протокола Model Context Protocol, используемого для интеграции с ИИ. Разбираем возможные векторы атак и демонстрируем proof of concept.
? 5
? 2
13 2.2K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram