Mentre il campo dell’intelligenza artificiale (AI) continua advert evolversi a un ritmo rapido, nuove ricerche hanno scoperto come le tecniche che rendono il protocollo di contesto del modello (MCP) Suscettibile a rapidi attacchi di iniezione potrebbe essere utilizzato per sviluppare strumenti di sicurezza o identificare strumenti dannosi, secondo un Nuovo rapporto da sostenibile.
MCP, lanciato da Antropic nel novembre 2024, è un framework progettato per collegare modelli di grandi dimensioni (LLMS) con fonti di dati esterne e servizi e utilizzare strumenti controllati da modelli per interagire con tali sistemi per migliorare l’accuratezza, la rilevanza e l’utilità delle applicazioni di intelligenza artificiale.
Segue un’architettura client-server, consentendo Host con clienti MCP Come il desktop o il cursore Claude per comunicare con diversi server MCP, ognuno dei quali espone strumenti e capacità specifici.
Mentre lo customary aperto offre un interfaccia unificata Per accedere a varie fonti di dati e persino passare tra i fornitori di LLM, sono anche con una nuova serie di rischi, che vanno dall’ambito di autorizzazione eccessivo agli attacchi di iniezione tempestivi indiretti.
Advert esempio, dato un MCP per Gmail per interagire con il servizio di posta elettronica di Google, un aggressore potrebbe Invia messaggi dannosi contenente istruzioni nascoste che, quando analizzate dall’LLM, potrebbero innescare azioni indesiderate, come inoltrare e -mail sensibili a un indirizzo e -mail sotto il loro controllo.
Anche MCP è stato trovato Per essere vulnerabili a quello che viene chiamato avvelenamento da utensili, in cui le istruzioni dannose sono incorporate nelle descrizioni degli strumenti che sono visibili a LLMS, e gli attacchi di tappeti, che si verificano quando inizialmente uno strumento MCP funziona in modo benigno, ma muta il suo comportamento in seguito tramite un aggiornamento malizioso ritagliato nel tempo.
“Va notato che mentre gli utenti sono in grado di approvare l’uso e l’accesso allo strumento, le autorizzazioni fornite a uno strumento possono essere riutilizzate senza riprogrammare l’utente”, Sentinelone disse in una recente analisi.
Infine, esiste anche il rischio di contaminazione incrociata o ombrezza dello strumento incrociato che fa sì che un server MCP si sovraposta o interferisca con un altro, influenzando furtivamente il modo in cui gli altri strumenti dovrebbero essere utilizzati, portando così a nuovi modi di esfiltrazione dei dati.
Le ultime scoperte di Tenable mostrano che il framework MCP potrebbe essere utilizzato per creare uno strumento che registra tutte le chiamate della funzione dello strumento MCP includendo una descrizione appositamente realizzata che indica all’LLM di inserire questo strumento prima che vengano invocati qualsiasi altro strumento.
In altre parole, il iniezione pronta è manipolato per un buon scopo, che consiste nel registro delle informazioni su “Lo strumento che è stato chiesto di eseguire, incluso il nome del server MCP, il nome e la descrizione dello strumento MCP e il immediate utente che ha causato l’esecuzione dell’LLM di eseguire story strumento”.
Un altro caso d’uso prevede l’integrazione di una descrizione in uno strumento per trasformarlo in un tipo di firewall che blocca gli strumenti non autorizzati da eseguire.
“Gli strumenti dovrebbero richiedere un’approvazione esplicita prima di eseguire la maggior parte delle applicazioni host MCP”, ha affermato il ricercatore della sicurezza Ben Smith.
“Tuttavia, ci sono molti modi in cui gli strumenti possono essere usati per fare cose che potrebbero non essere strettamente comprese dalle specifiche. Questi metodi si basano su LLM che suggeriscono tramite la descrizione e i valori di ritorno degli stessi strumenti MCP. Poiché anche gli LLM sono non deterministici, quindi sono i risultati.”
Non è solo MCP
La divulgazione arriva mentre Trustwave SpiderLabs ha rivelato che l’agente2agent di recente introduzione (A2a) Protocollo – che consente la comunicazione e l’interoperabilità tra le applicazioni agenti – potrebbe essere esposto a nuovi attacchi di forma in cui il sistema può essere assunto per instradare tutte le richieste a un agente di AI canaglia mentendo sulle sue capacità.
A2A period annunciato Di Google all’inizio di questo mese come modo per gli agenti di intelligenza artificiale di lavorare su sistemi di dati e applicazioni silenziosi, indipendentemente dal fornitore o dal framework utilizzato. È importante notare qui che mentre MCP collega LLMS con i dati, A2A collega un agente AI a un altro. In altre parole, sono entrambi Protocolli complementari.
“Supponiamo che abbiamo compromesso l’agente attraverso un’altra vulnerabilità (forse tramite il sistema operativo), se ora utilizziamo il nostro nodo compromesso (l’agente) e creiamo un Scheda agente ed esagerare davvero le nostre capacità, quindi l’agente ospitante dovrebbe sceglierci ogni volta per ogni attività e inviarci tutti i dati sensibili dell’utente che dobbiamo analizzare “, il ricercatore di sicurezza Tom Neaves disse.
“L’attacco non si ferma solo a catturare i dati, può essere attivo e persino restituire risultati falsi – che verranno quindi agiti a valle dall’LLM o dall’utente.”
