Уязвимости MCP: атаки на цепочку поставок и подмена инструментов

Протокол Model Context Protocol (MCP) служит связующим интерфейсом для помощников искусственного интеллекта, но одновременно содержит уязвимости, которые злоумышленники уже могут использовать для атак на supply chain. От регистрации поддельных серверов с похожими именами до скрытого «отравления» описаний инструментов — спектр угроз широк и опасен.

Ключевые векторы атак

Из анализа следует, что злоумышленники применяют несколько основных приёмов:

• Регистрация мошеннических MCP-серверов с именами, похожими на законные — это вводит в заблуждение помощников ИИ и может привести к несанкционированному доступу к токенам и конфиденциальным запросам.
• Отравление MCP — скрытые команды маскируются в описаниях инструментов. Например, инструмент может выполнять свою базовую функцию и одновременно запускать команду, раскрывающую закрытый SSH-ключ пользователя.
• Копирование и подмена инструментов — вредоносный MCP-сервер может скопировать легитимный инструмент и внедрить в него инструкции по перенаправлению, используя ранее заслуженное доверие для выполнения вредоносных действий без ведома пользователя.
• Сценарий «Оплошность с деньгами» — злоумышленник завоёвывает доверие пользователей, а затем рассылает вредоносные обновления (например, backdoor), которые автоматически интегрируются в рутинные операции.
• Уязвимости в реализациях платформ (включая обнаруженные на GitHub) — например, создание вводящих в заблуждение issue может вынудить легитимные MCP-серверы раскрыть информацию из закрытых хранилищ, способствуя утечке данных.

Проверка концепции и реальные находки

В ходе контролируемого тестирования Глобальным отделом экстренного реагирования на киберинциденты (GERT) «Лаборатории Касперского» было показано, насколько легко вредоносные серверы MCP могут быть установлены и развернуты в скомпрометированных системах.

Контролируемая проверка концепции выявила, что инструменты, выглядевшие легитимными, содержали вредоносные модули, маскирующиеся под сбор показателей и логирование. Основная вредоносная функциональность была реализована в файле project_metrics.py, который собирал конфиденциальные данные из среды разработчика и из более широкой пользовательской системы, выдавая это за метрики производительности.

Почему это опасно

Последствия таких атак включают:

• утечку токенов и секретов;
• несанкционированный доступ к приватным хранилищам и ключам (SSH, API-ключи и пр.);
• использование доверенных каналов и автоматических обновлений для маскировки вредоносной активности;
• расширение компромисса на всю цепочку поставок ПО через подменённые инструменты.

Рекомендации

Во избежание подобных инцидентов необходим комплекс мер по безопасности:

• регулярный аудит и ревью кода всех инструментов, интегрируемых в CI/CD и рабочие процессы разработки;
• строгая проверка регистраций и сертификатов MCP-серверов, мониторинг на предмет похожих/возможных спофинг-имён;
• ограничение привилегий и применение принципа least privilege для токенов и сервисных аккаунтов;
• внедрение процедур верификации обновлений и подписывания артефактов;
• повышение осведомлённости разработчиков и DevOps-инженеров о рисках отравления описаний и подмены инструментов;
• мониторинг anomalий поведения инструментов (внезапный доступ к секретам, необычные сетевые соединения и т.д.).

Вывод

Сценарии атак на основе уязвимостей в Model Context Protocol (MCP) демонстрируют, что даже инфраструктура, призванная упростить взаимодействие помощников ИИ, может стать каналом для серьёзных нарушений безопасности цепочек поставок. Обнаруженные GERT практики и пример с файлом project_metrics.py подчёркивают критическую необходимость тщательного аудита и контроля инструментов, встроенных в процессы разработки и эксплуатации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.