Cato Networks: новый протокол MCP от Atlassian позволяет атаковать через тикеты в JSM, создавая угрозу «жизни за счёт ИИ»

Cato Networks: новый протокол MCP от Atlassian позволяет атаковать через тикеты в JSM, создавая угрозу 171жизни за счёт ИИ187

Изображение: dall-e

Исследователи Cato Networks предупредили о новой векторной атаке, использующей механизмы взаимодействия ИИ-агентов с системами корпоративной поддержки. В отчёте, эксклюзивно предоставленном изданию Infosecurity, команда Cato CTRL описала атаку, получившую неофициальное название «Жизнь за счёт ИИ», которая позволяет злоумышленникам внедрять вредоносные команды в тикеты Jira Service Management (JSM), используя недавно представленный Model Context Protocol (MCP) от Atlassian.

MCP, впервые анонсированный компанией Anthropic в ноябре 2024 года и реализованный Atlassian в мае 2025-го, представляет собой открытый протокол для связи ИИ-моделей и бизнес-приложений. Его задача — передача контекстной информации между агентами ИИ и системами поддержки, такими как JSM и Confluence. Это позволяет автоматизировать резюмирование тикетов, генерировать ответы, классифицировать обращения и строить рекомендации.

Исследователи выяснили, что такой механизм может быть эксплуатирован через подмену контекста — при создании обращения в службу поддержки злоумышленник может отправить тикет, содержащий специально подобранную фразу (prompt injection), которую ИИ-агент воспринимает как инструкцию. В результате модель может выполнить нежелательное действие, интерпретируя запрос не как описание проблемы, а как команду.

PoC-атака, реализованная Cato CTRL, продемонстрировала возможность манипулирования поведением ИИ, встроенного в Atlassian JSM. Например, модель, призванная автоматически резюмировать обращение, может начать выполнять команды из вложенного промпта: модифицировать тикеты, удалять данные или отправлять фрагменты конфиденциальной информации на внешние ресурсы.

В архитектуре MCP используется хост (локальное приложение или среда разработки) и один или несколько серверов MCP, управляющих контекстом. Через эти каналы модели ИИ получают доступ к информации и могут влиять на корпоративные процессы, включая поддержку и документацию.

Хотя Atlassian представила MCP как средство повышения эффективности, исследование Cato Networks подчёркивает уязвимость подобных систем, особенно если они работают в связке с LLM, не имеющими защиты от внедрения инструкций. В контексте корпоративных сред такая атака становится особенно опасной, поскольку может запускаться просто через пользовательский тикет — без необходимости взлома инфраструктуры.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: