Несовершенные недостатки безопасности поднимают вопросы о безопасности систем ИИ, основанных на протоколе контекста модели (MCP).
Разработанный Antropric, MCP является спецификацией с открытым исходным кодом для подключения крупных языковых агентов AI на основе моделей с внешними источниками данных-называемыми серверами MCP.
Как первый предлагаемый отраслевой стандарт для общения с агентом в API, в последние месяцы интерес к MCP вырос, что привело к взрыву на серверах MCP.
В последние недели разработчики прозвучали тревогу, которой MCP не хватает аутентификации по умолчанию и не защищены от коробки — некоторые говорят, что это кошмар безопасности.
Недавние исследования инвариантных лабораторий показывают, что серверы MCP уязвимы для атак отравления инструментами, в которых ненадежные серверы внедряют скрытые инструкции в описания инструментов.
По данным инвариантных лабораторий, антропные, открытые, курсор, Zapier и другие клиенты MCP подвержены этому типу атаки.
«Сам MCP, как правило, не имеет самой проблемы безопасности как таковой, поскольку базовая уязвимость на самом деле является проблемой для моделей»,-сказала новой стеке,-сообщила новая стека Лука Беурер-Кельнер, соучредитель и технический директор Luca Beurer-Kellner.
«В то же время принятие MCP заставляет все больше и больше пользователей подключать системы LLM к конфиденциальным источникам и инструментам данных, что делает проблемы безопасности ИИ и агентского ИИ специально более актуальным», — добавляет он.
MCP Security Constrings ‘очень реальны’
MCP был описан как «порт USB-C для ИИ». По словам MCP.SO, более 8000 серверов MCP уже работают.
Сэм Альтман из Openai недавно взял на себя обязательство принять MCP для своей платформы. Ранние пользователи, такие как Digidop, сообщают о сокращении времени и сложности разработки на 55%.
Тем не менее, быстрый прогресс может пропустить риски безопасности. Недавнее исследование, проведенное в области безопасности API, равно, что 43% серверов MCP содержали недостатки впрыска команд.
«Проблемы безопасности очень реальны», — Кевин Свибер, стратег API в Lieed System, поделился на LinkedIn.
Исследователи определили несколько ключевых рисков, связанных с системами MCP:
- Отравление инструментами.
- Коврик тянет (в котором доверенный сервер изменяет инструменты после одобрения клиентом, чтобы стать злонамеренным).
- Инструмент затенение (один сервер изменяет поведение другого).
- Удаленное выполнение команды (когда злоумышленник запускает системные команды).
Стратегии смягчения включают:
- Сканирование серверов MCP для уязвимостей.
- Реализация аутентификации.
- Использование доверенного поставщика личности.
- Применение наименьших сетей к доступу к инструментам.
Зонирование уязвимостей MCP
Атаки отравления инструментами, тип косвенного быстрого инъекции, можно использовать для захвата поведения в системах на основе MCP. Это может разоблачить чувствительные секреты, такие как клавиши SSH, или вызвать несанкционированные действия с помощью других подключенных инструментов.
Этот риск проистекает из основной архитектурной проблемы: Недоверенные серверы MCP могут внедрять скрытые инструкции в описания инструментов, которые модель ИИ будет обрабатывать, но пользователи часто не увидят.
«Основная проблема заключается в том, что агентская система подвергается воздействию всех подключенных серверов и их описаний инструментов»,-говорится в отчете Invariant Labs,-«позволяя разбужденному или злонамеренному серверу для инъекции агента в отношении других серверов».
Свибер сказал новому стеку: «Злоусованный актер может маскировать в качестве агента по планированию, когда на самом деле все, что он делает, это то, что он приводит к тому, чтобы выявить частные коммуникации для начала сложной фишинговой атаки. Риски варьируются от основных проблем конфиденциальности до расширенных данных».
Инвариантные лаборатории определили, как вредоносные пакеты могут быть изменены после установки, чтобы включить ненадежный код, известный риск цепочки поставок.
«MCP-серверы несут те же риски цепочки поставок, что и любой сторонний пакет»,-заявил в новом стеке представитель Антрии. «Мы рекомендуем предприятиям продолжать следовать лучшим практикам безопасности при использовании сторонних пакетов».
Исследователь DevOps также выделил уязвимости в инъекциях Command Command в системах MCP.
Будьте осторожны с местными серверами MCP
Серверы MCP обычно делятся на две категории: отдаленные и местные. И самые насущные проблемы вращаются вокруг местных серверов MCP.
«Серверы MCP имеют некоторые проблемы безопасности путем дизайна, которые разработчики должны активно обращаться к обеспечению надежного и безопасного общения»,-сказал новый стек Alessio Dalla Piazza, соучредитель и технический директор Alessio Dalla Piazza.
Удаленные серверы MCP по -прежнему развиваются с точки зрения авторизации и транспортного протокола, отметил Swiber. В результате разработчики все чаще обращаются к местным серверам MCP, которые более четко определены в текущей спецификации.
Недостатком является то, что местные серверы MCP представляют значительно более высокий риск безопасности, потому что они часто вытягивают незавершенные сторонние пакеты из общественных реестров, таких как NPM или PYPI, что значительно увеличивает вероятность введения вредоносного кода.
«Локальные серверы MCP работают в операционной системе пользователя, часто с теми же разрешениями, что и пользователь», — добавил Swiber. «Это открывает окно для вредоносных актеров».
Итак, будьте осторожны с местными серверами MCP. «Вы, вероятно, не должны слепо скачать и использовать серверы MCP, потому что они могут вести себя так, чтобы они могли поставить под угрозу ваш источник данных», — поделился Эрик Уайлд, главный консультант Innoq, поделился на LinkedIn.
Паяцца добавила, что разработчики также должны гарантировать, что непреднамеренные функциональные возможности не могут быть непреднамеренно доступны. Это включает в себя возможность читать или записывать незащищенные файлы, выполнять системные команды или извлекать удаленные ресурсы.
Если сервер MCP не проверяет или не отображает описания инструментов, он может быть скомпрометирован. Beurer-Kellner от Invariant рекомендовал использовать такие инструменты, как MCP-Scan, чтобы убедиться, что используемые серверы безопасны.
«В настоящее время мы работаем с сообществом, чтобы создать стандартизированные реестры для серверов MCP», — сказал антропный представитель. «Эти реестры предоставят необходимые метаданные о реализациях сервера, что позволит пользователям принимать обоснованные решения о том, с какими серверами поддерживают и интегрируются».
Защита MCP: аутентификация, авторизация, абстрактная
Отравление инструментами — это только верхушка айсберга, когда дело доходит до безопасности инструмента LLM.
«Во многих популярных агентских системах не хватает надлежащих ограждений и гарантирует их поведение, что делает его очень рискованным подключать их к конфиденциальным инструментам и данным»,-сказал Беурер-Кельнер. «Даже лучшие LLM в наши дни все еще падают на инъекции и могут быть легко угнаны».
Реализация надлежащей аутентификации действительно важна. Глядя в будущее, Piazza надеется, что MCP будет включать встроенные меры безопасности, такие как стандартизированная аутентификация и песочница по умолчанию.
«До тех пор разработчики должны привлечь внимание не только о предполагаемом использовании LLMS, но и о потенциальных злонамеренных взаимодействиях, обеспечивающих безопасность, аутентификацию и проверку их реализаций MCP», — сказал он.
Для дистанционно открытых серверов MCP их безопасность действительно зависит от основных лучших практик API, которые разработчики — надеюсь — уже реализованы.
Swiber призывает команды построить серверы MCP, которые взаимодействуют с API -интерфейсом, чтобы оценить 10 лучших рисков API OWASP. Они добавили, что надлежащая авторизация, установление небольших областей, ограничение скорости и безопасное хранение токенов — это ключевые действия.
Piazza сказал, что меры безопасности для API должны обеспечить некоторую защиту: «Если безопасные практики уже существуют для базовых API, добавление воздействия с другим уровнем абстракции с MCP не должно представлять дополнительные риски».
Этот слой абстракции, однако, должен быть преднамеренным, по словам Мэтта Дебергалиса, технического директора и соучредителя Apollo GraphQL. «Агенты ИИ не могут напрямую подключаться к производственным API — это кошмар безопасности и управления», — сказал Дебергалист в новой стеке.
«Должен быть слой абстракции, который обеспечивает соблюдение политики, обрабатывает аутентификацию, управляет ограничениями скорости и разъединяет быструю итерацию систем ИИ из существующих услуг», — добавил он.
Наконец, существует проблема идентичности и управления доступом. Как это разработано, MCP накладывает много бремени на пользователя для реализации этого.
Вместо того, чтобы просить каждого MCP обрабатывать аутентификацию и саму авторизацию, Аарон Парецци, директор по стандартам идентификации Окты, в сообщении в блоге предложил относиться к серверу MCP как к серверу ресурсов OAuth и делегированию жестких вещей — например, выдачи токенов — поставщику личности.
«Спецификация аутентификации MCP по -прежнему созревает», — сказал антропный представитель. «Мы активно совершенствуем его, чтобы лучше соответствовать требованиям безопасности предприятия и существующих систем аутентификации».
Черт
В спешке принять MCP, компании не должны отказываться от своих обычных процедур для обеспечения надежных API.
«Существуют многочисленные деловые причины, по которым предприятия вдумчиво используют HTTP API для определения и раскрытия цифровых ресурсов и возможностей, присутствующих в их базах данных, файлах и других системах для использования в нескольких внутренних, партнерах и общественном приложениях за последнее десятилетие», — заявил Evangelist Kin Lane API Kin Lane.
«Вы не найдете ни одной из этих бизнес -причин, представленных в текущих дебатах о MCP, так как эти причины обходятся, чтобы обучать ваши данные их модели, убедив вас в том, что они соединят все точки».
Несмотря на то, что MCP уже отправляется на гонки, черта инакомыслия, вероятно, полезна для любых раскрученных технологий, раскрученных на молнической скорости.
Приглашение помочь сформировать MCP
Агент ИИ и MCP в этом отношении находятся на ранней стадии. И по мере того, как он получает большее использование, скорее всего, появятся новые векторы угроз.
«Агентство охраны безопасности на самом деле является очень сложной проблемой для решения»,-сказал Беурер-Кельнер, добавив, что «сложность агентских систем собирается взорваться и постоянно будет вызывать новые угрозы безопасности».
Anpropic ожидает, что протокол со временем улучшится, сославшись на предстоящие улучшения, такие как стандартизированные реестры для серверов MCP, более легкие надстройки версий и аутентификацию. Компания также приглашает участие в сообществе.
Как сказал пресс -секретарь Антрии в новом стеке: «Мы продолжаем приглашать сообщество активно участвовать в формировании MCP. Мы призываем людей следить за дискуссиями о Github — вы можете внести идеи, сообщать о проблемах и предлагать изменения в спецификации».
Свибер, например, одновременно заинтригован и осторожен: «Это захватывающее пространство, и я с нетерпением жду, когда стандарты созревают с помощью безопасности предприятия».
Тем не менее, они признают: «Эта технология все еще в первые годы».
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Билл Доеррфельд — технический журналист и лидер API. Он является главным редактором блога Nordic APIS, глобального сообщества API, посвященного тому, чтобы сделать мир более программируемым. Он также является активным участником горстки … Подробнее о Билле Доерфельде
