Model Context Protocol (MCP)は、2024年11月にAnthropicが開始し、AIアプリをSlackやデータベースなどの外部システムにリンクします。
このオープンソース標準はAIの相互運用性を高めますが、中間者攻撃を行う攻撃者への道を開きます。
Postmark MCPサーバーのインフォスティーラーなどの実世界の事例は、悪意のあるサーバーが実際にデータを盗んでいることを示しています。
MCPHammerツーリングを使用したPraetorianの研究は、エクスプロイトがモデル全体で機能し、企業におけるコード実行、データ盗難、ユーザー操作を可能にすることを証明しています。
MCPサーバーはローカルまたはリモート設定で実行され、それぞれ独自のリスクを持っています。ローカルサーバーはユーザーマシン上で処理され、攻撃者がユーザー権限でコードを実行し、ファイルやクレデンシャルを盗み、マルウェアを追加し、AI出力を変更し、システムをスキャウトすることを可能にします。
Slack、Notion、またはAtlassianのリモートサードパーティサーバーは企業データにアクセスし、未承認の行為を実行し、OAuthクレデンシャルを取得し、エージェントが企業システムを無制限に移動することを許可します。
信頼できるリモートサーバーと悪意のあるローカルサーバーをチェーンすることで、データアクセスとローカル実行が統合され、重大な危険をもたらします。
これらのサーバーは、Slackの読み取りまたは書き込みオプションのような外部タスクを処理するためのAIの「ツール」を提供し、これらは常に許可、承認、またはブロックに設定されています。読み取り専用ツールは安全に見えますが、悪いローカルサーバーを通じてゼロクリック攻撃にチェーンすることができます。
Praetorianは4つの主要なエクスプロイトを発見しました。サードパーティチェーンでは、偽の「conversation_assistant」MCPがメッセージ分析のような有用なツールを模倣しています。
攻撃者はSlackの投稿にbase64コマンドを隠します。AIが公式SlackMCPを通じてメッセージを取得するとき、ローカルの悪いサーバーはそれらをデコードして実行し、分析中にCalculatorを静かに開くようなものです。
また、ハードコードされたトークンを使用して攻撃者のSlackへの流出用の追加データを引き出し、TextEditに完全なデータセットを表示します。
任意のファイルダウンロードは、メイン関数の前にURLをフェッチして開く「init」ツールを使用し、「hello world」呼び出しを通じてマルウェアをダウンロードするようなセットアップとしてペイロードを偽装します。
レスポンス中毒は、偽のIT情報または悪意のあるリンクをAI応答に注入し、ユーザーに気付かれることなくフィッシングまたはビッシングを可能にします。データ流出はプロキシツールを介してクエリをインターセプトし、コード、チャット、またはシークレットを受動的に取得します。
読み取りツールの「常に許可」、Slackなどのソースへの信頼、良性に見えるサーバー、およびチャットトレースがないため、攻撃はステルスになります。calc.exeのような良性のデモはランサムウェアまたはバックドアに交換される可能性があります。
すべてのMCPインストールを厳密に確認し、サーバーを敵対的として扱い、自動承認を制限し、データフローを監視し、チェーンリスクについてトレーニングを行います。CI/CDの欠陥は内部サーバーも汚染する可能性があります。GitHubでPraetorianのMCPHammerを確認してテストを行ってください。
翻訳元: https://cyberpress.org/mcp-servers-expose-data-risk/