Исследователи из Лаборатории Касперского предупреждают, что не все то золото, что блестит: на волне популярности ИИ появляются вредоносные MCP-серверы.

Как отмечают в ЛК, разработанный компанией Anthropic протокол Model Context Protocol (MCP) - новая «программная шина» для подключения ИИ-ассистентов - может быть использован в качестве начальной точки для атаки на цепочку поставок.

По сути, MCP позволяет моделям искусственного интеллекта взаимодействовать с различными сервисами, инструментами и наборами данных на естественном языке, исключая необходимость индивидуальной интеграции для каждого из них.

MCP использует клиент-серверную архитектуру, включающую три компонента:

- клиенты (интегрированные в ИИ-ассистенты и приложения клиенты, поддерживающие соединение с сервером),
- хосты (сами инциирующие соединения LLM-приложения),
- и, собственно, сервер (принимают запросы на естественном языке от ИИ и преобразуют их в команды для запуска соответствующего инструмента или действия).

Концепция MCP - единый протокол для доступа к любому инструменту - призвана упростить интеграцию ИИ, однако на деле расширяет возможности злоупотребления, причем наибольшее внимание злоумышленников привлекают два способа.

Эксплуатация на уровне протокола включает множество векторов атак на MCP:

- подмена имен MCP-серверов (злоумышленники могут скрывать дополнительные инструкции в описании инструмента или примерах запросов);

- «дублирование» инструментов MCP (в многосерверных средах вредоносный MCP-сервер может изменить определение уже загруженного инструмента, которое копирует оригинальное, однако при этом содержит вредоносные инструкции перенаправления).

- сценарии типа «бегство с деньгами» (также «мошенничество с выходом», exit scam, rug pull) в MCP (сервер при развертывании имитирует работу легитимного инструмента, привлекая аудиторию, а в рамках автообновления злоумышленник может подменить версию на содержащую бэкдор, до которой автоматически обновятся ИИ-ассистенты).

- неисправленные уязвимости в реализации (GitHub MCP, Asana и т.д.).

Все эти методы особенно опасны тем, что все они эксплуатируют доверие пользователей к именованию и метаданным инструментов и не требуют сложных цепочек вредоносного ПО для доступа к инфраструктуре жертвы.

Однако атаки на цепочки поставок остаются одной из самых актуальных угроз, и эта тенденция также затронула MCP: под видом легитимных и полезных серверов распространяется вредоносный код.

Как в случае с вредоносными пакетами в репозитории PyPI и расширениями IDE со встроенными бэкдорами некоторые MCP-серверы подвергались аналогичной эксплуатации, но по несколько другим причинам.

Разработчики, как правило, стремятся интегрировать инструменты ИИ в свои рабочие процессы, отдавая предпочтение скорости, а не тщательной проверке кода.

И учитывая, что вредоносные MCP-серверы распространяются через привычные каналы - PyPI, Docker Hub и релизы на GitHub - еще больше снижает бдительность разработчиков.

Однако в связи с нынешней шумихой вокруг ИИ появился новый вектор угрозы: установка MCP-серверов из случайных ненадежных источников, где проверкам уделяется меньше внимания.

Пользователи публикуют свои реализации MCP на Reddit, описывая их как универсальное решение на все случаи жизни, и эти серверы мгновенно приобретают популярность.

Подробным разбором примера подобной атаки с вредоносным MCP-сервером исследователи ЛК поделились в отчете.