Anthropic Model Context Protocol kockázata
Az OX Security elemzése egy architekturális szintű sérülékenységet ír le az Anthropic által bevezetett Model Context Protocol (MCP) kapcsán, amely nem egy konkrét implementációs hiba, hanem a protokoll működési logikájából fakadó, rendszerszintű kockázat.
Az MCP célja, hogy egységes interfészt biztosítson AI modellek és külső eszközök, adatforrások között, azonban a kutatás szerint ez a rugalmasság egyben kritikus támadási felületet is létrehoz. A fő probléma a STDIO-alapú végrehajtási modell, ahol a konfigurációban megadott parancsok közvetlenül kerülnek végrehajtásra, megfelelő input-ellenőrzés nélkül. Ez lehetővé teszi, hogy felhasználói inputból származó vagy manipulált parancsok közvetlenül az operációs rendszer szintjén fussanak le, ami távoli kódfuttatást eredményezhet.
A sérülékenység különösen súlyos, mert tervezési jellegű, a viselkedés a hivatalos MCP SDK-kban alapértelmezett működésként jelenik meg, így minden erre épülő rendszer örökli a kockázatot. A kutatás szerint ez több mint 150 millió letöltést, több ezer nyilvánosan elérhető szervert és akár több százezer implementációt érinthet, ami egy klasszikus ellátási lánc jellegű kitettséget jelent.
A támadási modell több vektoron keresztül kihasználható. Ide tartozik a prompt injection, a konfiguráció manipulációja, illetve olyan helyzetek, ahol az AI agent vagy middleware komponens automatikusan továbbítja a felhasználói inputot a végrehajtási réteg felé. Mivel az MCP a modellek és eszközök közötti kommunikáció központi eleme, egy ilyen kompromittáció láncreakció-szerűen terjedhet a teljes AI ökoszisztémában, beleértve fejlesztői eszközöket, agent frameworköket és SaaS platformokat.
A protokoll nem tartalmaz natív input-sanitization vagy végrehajtási korlátozási mechanizmusokat, így a biztonság a fejlesztőkre van delegálva. Ez a megközelítés különösen kockázatos egy olyan környezetben, ahol az AI rendszerek dinamikusan kezelnek külső inputokat és automatizált döntéseket hoznak. A gyakorlatban ez azt jelenti, hogy egy hibás konfiguráció vagy nem validált input elegendő lehet a teljes rendszer kompromittálásához.
Az elemzés ezt a problémát az AI supply chain egyik legkritikusabb pontjaként azonosítja. Mivel az MCP egy köztes réteg a modellek és az infrastruktúra között, a sérülékenység nem izolált komponenseket érint, hanem az AI-alapú rendszerek teljes bizalmi láncát. Egy sikeres exploit nemcsak adatlopást tesz lehetővé, hanem API kulcsok, adatbázisok, belső szolgáltatások és teljes futtatókörnyezetek kompromittálását is.
