MCP “设计固有” 缺陷或引发大规模人工智能供应链攻击
- 浏览次数 30
- 喜欢 0
HackerNews 编译,转载请注明出处:
模型上下文协议(MCP)对智能代理人工智能(agentic AI)用户来说是一大便利,采用智能代理人工智能的企业在内部广泛且信任地使用它。
该协议由 Anthropic 于 2024 年 11 月推出,为智能代理与数据之间提供了标准连接。企业在内部使用它,以避免自行开发连接程序的麻烦,作为本地标准输入输出(STDIO)MCP 服务器,它得到了广泛应用。
MCP 服务器有多个供应商,几乎都沿用了 Anthropic 的代码。据 OX Security 报告,问题在于 Anthropic 嵌入大多数本地 STDIO MCP 代码中的架构缺陷。
简而言之,OX Security 表示,该缺陷可能导致攻击者完全接管用户计算机系统。OX 报告称:“攻击机制很简单,MCP 的 STDIO 接口旨在启动本地服务器进程,但无论该进程是否成功启动,命令都会执行。”
“传入恶意命令,收到错误提示 —— 但命令仍会运行。没有清理警告,开发工具链中也没有警示标志,什么都没有。”
OX 广泛测试了这个 “缺陷” 是否可被利用,结果多次成功利用,并向从 Anthropic 开始的各级 MCP 供应商广泛披露了其发现。起初,几乎没有回应。最终,常见的回应是不作为,并表示这种行为是 “设计使然”。
但 OX 发现并证明,这种 “设计使然” 的行为很容易被利用,这可能使数百万下游用户面临敏感数据、API 密钥和企业内部数据被盗取,聊天记录被泄露等风险。如果 MCP 启动失败的进程包含恶意软件,该恶意软件可能会悄然安装,潜在导致系统完全被接管。
最终,Anthropic 唯一明显的行动是悄然更新其安全指南,建议 “谨慎” 使用 MCP 适配器,“让缺陷依旧存在,却将责任转嫁给开发者”。
这是一种很有意思的立场。这意味着开发者要为自己开发的内容负责,这很合理。这也可能暗示,任何因此被入侵的公司,责任不在 Anthropic,而是 MCP 安装配置错误导致的 —— 这种情况确实会发生。公平地说,GitHub 自身的安装在 OX 测试中是个例外,证明安装时进行安全防护是可行的。
但 OX 大量成功入侵的测试表明,安装 MCP 服务器的开发者未能成功进行安全安装。鉴于人工智能在安全的诸多方面实现自动化,降低了开发者的安全能力门槛,这并不奇怪。
OX 认为,Anthropic 应该承担责任,自行修复这个 “架构缺陷”。否则,将使行业面临 “史上最大规模的供应链攻击”,从 Anthropic 开始,扩散到成千上万的本地 MCP 用户,再从这些被入侵的系统扩散到不知多少其他服务器。
在研究过程中,OX 采用了协调披露流程,促使超 30 项披露被接受,超 10 个高危和严重漏洞得到修复。但 OX 称,根本的设计缺陷仍然存在,使数百万用户和数千个系统面临未经授权访问的风险。“当前模型上下文协议的实施将全部安全负担加诸下游开发者身上,这是一种结构性失误,必然导致大规模的漏洞。”
OX 的研究报告详细说明了 Anthropic 可如何解决这一问题,包括废除未经清理的 STDIO 连接、引入协议级命令沙盒、设置 “危险模式” 明确选择开启机制,以及制定市场验证标准,包括标准化的安全清单。
与此同时,任何将 STDIO MCP 作为智能代理人工智能开发一部分的公司,都应 “谨慎” 行事。
消息来源:securityweek.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文