DeepJack
Az Adversa AI kutatói a DeepJack támadási módszerrel egy új kockázatra hívták fel a figyelmet, amely a Cursor AI fejlesztőkörnyezet Model Context Protocol (MCP) funkcióját érinti. A támadás a cursor:// deeplink protokollt használja ki, a támadó egy weboldalon, e-mailben vagy chatüzenetben elhelyezett hivatkozással ráveszi a felhasználót egy távoli MCP-szerver telepítésére. A telepítési ablak legitimnek tűnik, azonban a felhasználó valójában egy rosszindulatú MCP-komponenst engedélyez, amely a fejlesztő gépén futó AI-ügynök jogosultságaival működik.
A kutatók szerint bizonyos konfigurációkban ez RCE-hoz, fájlműveletek végrehajtásához, hitelesítő adatok megszerzéséhez vagy tetszőleges parancsok futtatásához vezethet. A támadás nem zero-click, de egyetlen kattintással és a telepítés jóváhagyásával végrehajtható, miközben a felhasználó számára nehéz megkülönböztetni a legitim és a rosszindulatú MCP-telepítéseket.
A DeepJack jól illeszkedik az AI-alapú fejlesztői eszközök ellen irányuló támadások új hullámába. A célpont már nem maga a forráskód vagy a fejlesztői környezet sérülékenysége, hanem az AI-ügynök, amely széles körű hozzáféréssel rendelkezik a helyi fájlrendszerhez, Git-repozitóriumokhoz, API-kulcsokhoz és külső szolgáltatásokhoz. A kutatás szerint a jelenlegi MCP-környezetben a legnagyobb kockázatot nem a protokoll, hanem a bizalmi modell jelenti, a felhasználók hajlamosak automatikusan megbízni a telepített MCP-szerverekben, miközben azok gyakorlatilag korlátozás nélkül futtathatnak műveleteket a fejlesztői munkaállomáson. A kutatók ezért csak megbízható forrásból származó MCP-k használatát, az automatikus futtatási lehetőségek kikapcsolását, valamint a telepítési folyamatok és az AI-ügynökök jogosultságainak szigorú korlátozását javasolják.