TokyoBlackHatNews

securityweek.com 4分で読了

MCPの「設計」欠陥が広範なAIサプライチェーン攻撃を可能にする可能性

Model Context Protocol (MCP)はエージェンティックAIユーザーに多くの利益をもたらしており、エージェンティックAIを社内で採用している企業によって広く使用され、信頼されています。 

2024年11月にAnthropicによって導入され、エージェントとデータ間の標準的なコネクタを提供します。企業は独自のコネクタを開発する手間を避けるためにローカルで使用しており、ローカルSTDIO MCPサーバーとして広く使用されています。

MCPサーバーの複数のプロバイダーがあり、ほぼすべてがAnthropicのコードを継承しています。OX Securityが報告する問題は、これらのローカルSTDIO MCPのほとんどに組み込まれているAnthropicのMCPコードの設計上の欠陥と呼ぶものです。報告によるとOX Securityです。

要するに、OX Securityはこの欠陥がユーザーのコンピュータシステムの完全な敵対的乗っ取りをもたらす可能性があると述べています。「そして悪用メカニズムは単純です。MCPのSTDIOインターフェースはローカルサーバープロセスを起動するように設計されていますが、プロセスが正常に起動したかどうかに関わらず、コマンドは実行されます。」とOXは報告しています。

「悪意あるコマンドを渡し、エラーを受け取る—そしてコマンドはまだ実行されます。サニタイゼーション警告なし。開発者ツールチェーンに赤旗なし。何もありません。」

OXはこの「欠陥」が悪用可能であるかどうかを広範にテストし、広範に成功し、MCPプロバイダー(Anthropicから下へ)にその調査結果を広範に開示しました。最初はほとんど反応がありませんでした。最終的に、一般的な反応は不作為と、この動作が「設計」であるという示唆でした。

しかし、OXは、この「設計」の動作が容易に悪用される可能性があることを発見し、実証しました。潜在的に数百万の下流ユーザーが機密データ、APIキーおよび内部企業データ盗難、チャット履歴の露出などにさらされています。MCPが失敗したプロセスにマルウェアが含まれていた場合、そのマルウェアは静かにインストールされ、完全なシステム乗っ取りにつながる可能性があります。

最終的に、Anthropicからの唯一の明らかなアクションは、MCPアダプターを「注意して」使用することを推奨するためにセキュリティガイダンスを静かに更新することでした—「欠陥をそのままにして、責任を開発者にシフトさせています」。

これは興味深い立場をとります。開発者が開発するもののセキュリティに責任があることを示唆しており、これは公正です。また、このように侵害された企業はAnthropicの責任ではなく、MCPインストール設定の誤りの責任である可能性も示唆しています—これは確かに起こります。そして公平に言うと、GitHubの独自インストールはOXテストの例外であり、インストール時のセキュリティゲートが可能であることを証明しています

AI Risk Summit | Ritz-Carlton, Half Moon Bayで詳しく知る

しかし、OXが実施した成功した侵害の膨大な量は、MCPサーバーをインストールしている開発者が正常にインストールに失敗していることを示しています。これは、AIがセキュリティの多くの側面を自動化し、開発者間のセキュリティ能力の基準を低下させている場合、驚くべきことではありません。

OXの立場は、Anthropicが責任を取り、この「設計上の欠陥」を自分で修正すべきだというものです。そうしないと、業界は「すべてのサプライチェーン攻撃の母」にさらされています。Anthropicから始まり、数千のローカルMCPユーザーに広がり、それらの侵害されたシステムから他の多くのサーバーへと広がります。

調査中、OXは調整された開示プロセスを採用し、30以上の受け入れられた開示と10以上の高度な重大な脆弱性のパッチにつながりました。しかし、根本的な設計上の欠陥は、それは言う、残っています。数百万のユーザーと数千のシステムが不正アクセスにさらされています。「Model Context Protocolの現在の実装は、セキュリティの全責任を下流の開発者に置いています—規模で脆弱性を保証する構造的障害。」

OXの調査結果に関するレポートには、AnthropicがサニタイゼーションされていないSTDIO接続を非推奨にし、プロトコルレベルのコマンドサンドボックスを導入し、「危険なモード」の明示的なオプトインを含め、標準化されたセキュリティマニフェストを含むマーケットプレイス検証標準を開発することで問題を解決する方法の詳細が含まれています。

それまでの間、エージェンティックAI開発の一部としてSTDIO MCPを採用する企業は、「注意して」そうすべきです。

翻訳元: https://www.securityweek.com/by-design-flaw-in-mcp-could-enable-widespread-ai-supply-chain-attacks/

ソース: securityweek.com
#AIサプライチェーン攻撃 #Anthropic #APIキー盗難 #MCP設計欠陥 #OX Security #エージェンティックAI #コマンドインジェクション #システム乗っ取り #セキュリティ脆弱性 #マルウェア

関連記事

スウェーデン、昨年のエネルギーインフラへのサイバー攻撃をロシア親派団体に非難

悪用された脆弱性がNginxサーバーをハッキングに晒す

カプセルセキュリティが700万ドルの資金調達でステルスから登場