Все будет хуже

Протокол контекста модели (MCP) — это новый стандарт, разработанный для обеспечения бесперебойного взаимодействия между приложениями Large Language Model (LLM) и внешними инструментами или ресурсами. За короткий период уже были разработаны и развернуты тысячи служб MCP. Однако архитектура клиент-серверной интеграции, присущая MCP, может расширить поверхность атаки на системы агентов LLM, представляя новые уязвимости, которые позволяют злоумышленникам использовать, разрабатывая вредоносные серверы MCP. В этой статье мы представляем первое систематическое исследование векторов атак, нацеленных на экосистему MCP. Наш анализ выделяет четыре категории атак, а именно: атаки отравления инструментов, атаки марионеток, атаки вытягивания коврика и эксплуатация через вредоносные внешние ресурсы. Чтобы оценить осуществимость этих атак, мы проводим эксперименты, следуя типичным шагам запуска атаки через вредоносные серверы MCP: загрузка → загрузка → атака. В частности, мы сначала создаем вредоносные серверы MCP и успешно загружаем их на три широко используемые платформы агрегации MCP. Результаты показывают, что текущие механизмы аудита недостаточны для выявления и предотвращения предлагаемых методов атаки.Затем, посредством изучения пользователей и интервью с 20 участниками, мы демонстрируем, что пользователи испытывают трудности с выявлением вредоносных серверов MCP и часто неосознанно устанавливают их с платформ агрегаторов. Наконец, мы демонстрируем, что эти атаки могут вызывать вредное поведение в локальной среде пользователя, например, доступ к личным файлам или управление устройствами для передачи цифровых активов, путем развертывания фреймворка доказательства концепции (PoC) против пяти ведущих LLM. Кроме того, на основе результатов интервью, мы обсуждаем четыре ключевые проблемы, с которыми сталкивается текущая экосистема безопасности, окружающая серверы MCP. Эти результаты подчеркивают острую необходимость в надежных механизмах безопасности для защиты от вредоносных серверов MCP и обеспечения безопасного развертывания все более автономных агентов LLM - Beyond the Protocol: Unveiling Attack Vectors in the Model Context Protocol Ecosystem

См. другие публикации, посвященные MCP