Эдера спонсировала этот пост.
Критическая уязвимость в широко используемом инструменте MCP Inspector позволяет злоумышленникам выполнять произвольный код на машинах для разработчиков, просто обманув их в посещение вредоносного веб -сайта. С более чем 5000 раздвоенных репозиториев и оценкой CVSS 9,4, это представляет собой один из первых крупных кризисов безопасности в экосистеме развития искусственного интеллекта.
Это также предвещает серьезные пробелы в доверии, которые должны быть затвердевают, чтобы зарождающиеся агентские архитектуры взаимодействия с ИИ работают безопасно, и для рыночных площадок для агентов ИИ, чтобы достичь широкого принятия.
Недоверенный код быстро распространяется по предприятиям
Эта уязвимость является лишь последним примером того, насколько важно будет иметь безопасный способ запустить AI-сгенерированный код и смежные компоненты из этой новой экосистемы.
Большинство организаций имеют строгие процессы одобрения, прежде чем позволять произвольному коду запускаться в их среде, будь то из проектов с открытым исходным кодом или решений поставщиков. Тем не менее, благодаря этой новой волне инструментов мы одновременно позволяем тысячам сотрудников постоянно обновлять кодовые базы с помощью произвольного, ненадежного кода, сгенерированного AI или проводки, указаны кодовые базы и приложения для механизмов, которые могут изменить или изменять их поведение.
Речь идет не о прекращении использования агентов кодирования ИИ или жертвоприношении огромного роста производительности, которую они обеспечивают. Вместо этого мы должны стандартизировать лучшие способы, которые позволяют нам запускать ненадежный код в наших конвейерах разработки программного обеспечения.
Машина разработчика: шлюз ко всему
Когда команды безопасности думают о защите своей инфраструктуры, они сосредоточены на производственных средах, конвейерах CI/CD и системах, ориентированных на клиента. Но есть огромная слепая пятно: местная машина разработчика. Это не просто еще одна конечная точка; Это сокровищница учетных данных доступа, исходного кода, внутренней документации и часто прямых связей с производственной инфраструктурой.
Машина разработчика может хранить ключи SSH для производственных серверов, строк подключения базы данных, ключей API, исходного кода для проприетарных приложений, внутренней документации, архитектурных схем, подключений VPN с внутренними сетями и кэшированных учетных данных для облачных платформ. Успешный компромисс машины разработчика не просто влияет на одного человека; Он может служить первоначальным вектором доступа для разрушительной атаки цепочки поставок или нарушения данных.
Уязвимость MCP: тематическое исследование в современных векторах атаки
Недавно раскрытая уязвимость (CVE-2025-49596) в инспекторе MCP в Антрии служит тематическим исследованием того, как современные векторы атаки используют наше доверие к инструментам разработчика. Вот как работает атака:
Цепочка атаки:
- Целевая настройка: Разработчик запускает инспектор MCP с настройками по умолчанию (происходит автоматически с командой MCP DEV).
- Эксплуатация: Злоусованный веб -сайт использует JavaScript для отправки запросов на
- Выполнение кода: Запрос запускает произвольные команды на машине разработчика.
- Полный компромисс: Злоумышленник получает полный доступ к среде разработки.
Эта уязвимость позволяет выполнять удаленное выполнение кода, просто обманывая разработчика в посещение вредоносного веб -сайта. Что делает это особенно опасным:
- Не требуется взаимодействие с пользователем, кроме посещения веб -страницы
- Обходит традиционные средства безопасности, ориентируясь на услуги Localhost
- Эксплуатирует недостаток 19-летнего браузера (0,0,0,0 дня), который остается невыполненным
- Нацеливаются на законные инструменты, которые разработчики используют ежедневно
По мере того, как инструменты разработки искусственного интеллекта получают внедрение на предприятиях, существует новый класс систем для поддержки, которые могут выполнять код от имени разработчиков. Это включает в себя ассистенты по коду искусственного интеллекта, генерирующие и запущенные фрагменты кода, серверы MCP, предоставляющие системам ИИ доступ к локальным инструментам и данным, автоматическим инструментам тестирования, выполняющих тестовые примеры, сгенерированные AI, и агенты разработки, выполняющие сложные операции с множеством. Каждый из них представляет собой потенциальный путь выполнения кода, который часто обходит традиционные элементы управления безопасности. Риск не только в том, что сгенерированный AI код может быть непреднамеренно злонамеренным; Дело в том, что эти новые системы также создают пути для ненадежного выполнения кода.
Инструменты разработки ИИ также усиливают существующие риски безопасности, создавая новые пути атаки для использования известных уязвимостей. Например, традиционные недостатки веб-приложений теперь могут быть вызваны с помощью AI-сгенерированного кода или автоматизированных агентов разработки, расширяя потенциальный охват ранее содержащихся угроз. Мы уже видим оскорбительные компании ИИ и решения, стремясь извлечь выгоду из этого.
Более широкая проблема с ненадежным кодом
Эта уязвимость не является изолированным инцидентом; Это раннее предупреждение о гораздо большей проблеме. Экосистема разработки ИИ представляет новые категории систем, которые могут выполнять код от имени разработчиков. К ним относятся зависимости от пакетов с потенциально злонамеренными сценариями после установки, сторонними библиотеками, которые могут содержать уязвимости или бэкдоры, проекты с открытым исходным кодом, где вредоносные коммиты могут быть скрыты на видении, инструментах разработки, которые подключаются к внешним сервисам и образцам кода, копируемыми с форумов, документации или учебных пособий. Каждый из них представляет собой потенциальную точку входа для злоумышленников, которые понимают, что машины разработчиков являются целевыми показателями.
Изоляция по умолчанию
Ответ не заключается в том, чтобы прекратить использование кода, сгенерированного AI, или избегать внешнего кода, он должен реализовать правильную изоляцию для всех ненадежных выполнений кода, включая среды разработчиков и производственные системы. Если вы поддерживаете свою безопасность только на изоляцию контейнеров, вы делаете ставку на пространство имен Linux, делающую то, что никогда не было предназначено. Реальная изоляция требует разделения оборудования. Изоляция контейнера удобна, не безопасна. Чем раньше мы признаем это, тем раньше мы сможем создавать системы, которые фактически защищают наши рабочие нагрузки.
В то время как мы сосредоточились здесь на условиях разработки, те же принципы применимы к производственной среде. Валидация для изоляции, необходимой в средах разработки, набирает обороты с рамки контейнеризации Apple. Тем не менее, должен произойти более широкий сдвиг, чтобы последовательно рассматривать как системы разработки, так и производственные системы с одинаковыми ожиданиями от изоляции времени выполнения, поскольку как сгенерированный AI код, так и новые компоненты в стеке разработки искусственного интеллекта могут быть потенциально злонамеренными. Также важно сделать изоляцию по умолчанию, а не исключение.
Уязвимость MCP — это больше, чем один недостаток; Он подчеркивает, насколько глубоко наши среды разработки переплетаются с системами ИИ, которые могут создавать, интерпретировать и выполнять код автономно.
Поскольку агентские архитектуры ИИ продолжают развиваться, их способность взаимодействовать между инструментами, услугами и платформами отражает сложную сеть переходных зависимостей, обнаруженных в современных цепях поставок программного обеспечения. Подобно тому, как слабость в глубоко вложенной библиотеке может поставить под угрозу все приложение, система ИИ с неконтролируемыми привилегиями выполнения может подвергнуть организации широко распространенным и потенциально разрушительным рискам.
Цель состоит в том, чтобы не остановить принятие инструментов, управляемых искусственным интеллектом, или не доверять их возможностям. Именно для признать, что их сила заключается в подключении и автономии, что также вводит системные уязвимости. По мере созревания этой новой экосистемы разработки искусственного интеллекта мы должны учиться на десятилетиях сбоев безопасности программного обеспечения и создать защиту с нуля. Средство совместимости в системах ИИ должна рассматриваться с тем же самого мышления, в котором мы применяемся к программным зависимостям, или мы рискуем повторять те же ошибки в гораздо большем и более быстром масштабе.
*Уязвимость, обсуждаемая в этом посте, была исправлена в версии инспектора MCP 0.14.1. Разработчики, использующие инспектор MCP, должны убедиться, что они запускают последнюю версию и просмотрите свои методы безопасности среды развития.
Edera Reimagines Container Container, обеспечивая оптимизацию ресурсов для рабочих нагрузок без нарушения рабочих процессов разработчика. Мы перепроектировали основную архитектуру: решение с аппаратного обеспечения, а не программное обеспечение. Наш подход соединяет разрыв между тем, как контейнеры отправляются и как они должны работать. Узнайте больше последних из Edera Trending Stories youtube.com/thenewstack Tech Moving быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Дэн Фернандес — глава продуктов искусственного интеллекта в Edera и опытного машинного обучения, аналитики и профессионала в области кибербезопасности, специализирующихся на интеллекту, инженерии обнаружения, безопасности данных и безопасности инфраструктуры контейнеров. До прихода в Edera он запустил продукты в Chainguard … Подробнее от Дэна Фернандеса
