MCP szerverek felhasználása ellátási lánc támadásokban
A Securelist cikke azt vizsgálja, hogy hogyan lehet a Model Context Protocol-t (MCP) felhasználni a ellátási lánc támadásokban. A Model Context Protocol (MCP) protokollt egy AI-kutató vállalat, az Anthropic vezette be, mint nyílt szabványt az AI-asszisztensek külső adatforrásokhoz és eszközökhöz való csatlakoztatására. Alapvetően az MCP lehetővé teszi az AI-modellek számára, hogy természetes nyelven kommunikáljanak különböző eszközökkel, szolgáltatásokkal és adatokkal, anélkül, hogy minden eszközhöz egyedi integrációra lenne szükség.
Az MCP egy kliens-szerver architektúrát követ, amely három fő komponensből áll:
- MCP kliensek: Az AI asszisztenssel vagy alkalmazással (például Claude vagy Windsurf) integrált MCP kliens kapcsolatot tart fenn az MCP szerverrel, lehetővé téve az ilyen alkalmazások számára, hogy egy adott eszköz iránti kéréseket a megfelelő eszköz MCP szerveréhez továbbítsák.
- MCP hosztok: Ezek maguk az LLM alkalmazások (például Claude Desktop vagy Cursor), amelyek kezdeményezik a kapcsolatokat.
- MCP szerverek: Ez az, amit egy adott alkalmazás vagy szolgáltatás intelligens adapterként tesz közzé. Az MCP-kiszolgálók az AI-tól természetes nyelvet vesznek át, és azt olyan parancsokká alakítják, amelyek egy eszközt vagy műveletet futtatnak.
Bár az MCP célja az AI integráció egyszerűsítése egy protokoll használatával, ez növeli a visszaélés lehetőségét, és a kiberszereplők főleg két módszerre fókuszálnak: protokoll szintű kihasználásra vagy ellátási lánc kihasználásra. Protokoll szintű visszaélés lehet például MCP naming confusion (a támadó regisztrálhat egy rosszindulatú MCP szervert, amelynek neve szinte megegyezik egy legitim kiszolgáló nevével, majd ehhez kapcsolódik hozzá az AI-asszisztens és átadja a tokeneket vagy az érzékeny lekérdezéseket), MCP tool poisoning (a támadók extra utasításokat rejtenek el az eszköz leírásában vagy a prompt példákban) vagy éppen implementációs hibák (GitHub-bal való visszaélés).
A fejlesztők általában igyekeznek AI eszközöket integrálni a munkafolyamataikba, miközben a sebességet helyezik előtérbe a kódfelülvizsgálattal szemben. A rosszindulatú MCP kiszolgálók jól ismert csatornákon terjednek, például a PyPI-n, a Docker Hubon és a GitHub Releasesen keresztül. A Securelist szerint azonban egy új trend, hogy megbízhatatlan forrásokból, sokkal kevesebb ellenőrzés mellett telepítenek MCP szervereket a szervezetek. A felhasználók saját MCP-iket például Redditen teszik közzé, és mivel ezeket univerzális megoldásként hirdetik, ezek gyorsan népszerűvé válnak.
A Securelist cikke egy PoC-t is részletez és emellett kockázatcsökkentő javaslatokat tesz, úgy mint telepítés előtt kódellenőrzés, MCP futtatása konténerben vagy VM-ben, promptok és válaszok monitorozása, valamint a rosszindulatú MCP szerverekre vonatkozó playbook kidolgozása.
