СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Артем
17.10.2025
#Dev#ИБ#ИИ#Инфра

Anaconda: доверенные подключения MCP становятся новым вектором атак на LLM-системы

Anaconda: доверенные подключения MCP становятся новым вектором атак на LLM-системы

Изображение: Arthur Mazi (unsplash)

Исследователи выявили серьёзную брешь в модели подключения больших языковых моделей к внешним ресурсам. В отчете говорится о протоколе Model Context Protocol (MCP), который, как выяснилось, может быть использован злоумышленниками для полного контроля над хостами и манипуляции поведением моделей ИИ.

По данным исследования, вредоносные MCP-серверы способны не только вмешиваться в логику LLM, но и вводить в заблуждение конечных пользователей. При этом их деятельность часто остаётся вне поля зрения традиционных инструментов мониторинга, что делает угрозу практически невидимой.

Протокол MCP задуман как универсальный способ интеграции ИИ с внешними источниками — файлами, почтой, поисковыми системами. Он работает по принципу plug-and-play, упрощая взаимодействие с различными сервисами. На август 2025 года в открытом доступе насчитывалось свыше 16 000 MCP-серверов. Большинство из них разработаны независимыми программистами и размещены на публичных хостингах.

Именно такая открытость стала слабым местом. В отчёте подчёркивается, что новые MCP-серверы могут публиковаться без какого-либо процесса проверки. Это позволяет злоумышленникам скрывать вредоносные скрипты в якобы полезных сервисах. Как только LLM подключается к такому ресурсу, злоумышленник получает возможность влиять на внутренние процессы — без использования уязвимостей в коде самой модели.

Технический директор Anaconda Стив Кроче прокомментировал, что MCP-сервисы выходят за пределы взаимодействия между LLM и сервером. По его словам, они могут открывать доступ к защищённым данным, передавать конфиденциальную информацию и служить точкой входа извне. Это делает их привлекательной целью для киберпреступников.

Стив Кроче также отметил, что многие уязвимости MCP базируются на давно известных приёмах — таких как SQL-инъекции или команды оболочки. Он уточнил, что MCP-серверы, выполняющие сгенерированный код, становятся объектами атак на цепочки поставок, особенно если злоумышленнику удаётся внедрить уязвимый компонент. В качестве подтверждения он упомянул недавние случаи с уязвимостями в GitHub MCP, mcp-remote и инструменте Anthropic MCP Inspector.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: