„JFrog“ saugumo ekspertai aptiko „greito užgrobimo“ grėsmę, kuri išnaudoja silpnąsias AI sistemų tarpusavio bendravimo vietas naudojant MCP (modelio konteksto protokolą).
Verslo vadovai nori padaryti AI naudingesnį tiesiogiai naudodami įmonės duomenis ir įrankius. Tačiau taip prijungus dirbtinį intelektą taip pat atsiranda naujų saugumo pavojų ne pačiame AI, o dėl to, kaip visa tai susiję. Tai reiškia, kad CIO ir CISO turi galvoti apie naują problemą: saugoti duomenų srautą, kuriuo tiekiamas dirbtinis intelektas, taip, kaip jie saugo patį AI.
Kodėl AI atakos, nukreiptos į tokius protokolus kaip MCP, yra tokios pavojingos
AI modeliai – nesvarbu, ar jie yra „Google“, „Amazon“, ar veikia vietiniuose įrenginiuose – turi pagrindinę problemą: jie nežino, kas šiuo metu vyksta. Jie žino tik tai, ko buvo mokomi. Jie nežino, su kokiu kodu dirba programuotojas ar kas yra kompiuteryje esančiame faile.
Anthropic boffinai sukūrė MCP, kad tai ištaisytų. MCP yra būdas dirbtiniam intelektui prisijungti prie realaus pasaulio, leidžiantis saugiai naudoti vietinius duomenis ir internetines paslaugas. Tai leidžia tokiam padėjėjui kaip Claude suprasti, ką tai reiškia, kai nukreipiate į kodo dalį ir paprašote jį pakeisti.
Tačiau JFrog tyrimai rodo, kad tam tikras MCP naudojimo būdas turi greitą užgrobimo silpnumą, kuris gali paversti šį svajonių AI įrankį košmariška saugumo problema.
Įsivaizduokite, kad programuotojas paprašo AI asistento rekomenduoti standartinį Python įrankį darbui su vaizdais. AI turėtų pasiūlyti Pagalvėkuris yra geras ir populiarus pasirinkimas. Tačiau dėl trūkumo (CVE-2025-6515). oatpp-mcp sistemoje, kažkas gali prasmukti į vartotojo seansą. Jie galėjo išsiųsti savo netikrą užklausą, o serveris elgtųsi taip, lyg būtų gautas iš tikro vartotojo.
Taigi, programuotojas gauna blogą pasiūlymą iš AI padėjėjo, rekomenduodamas netikrą įrankį „BestImageProcessingPackage“.. Tai rimtas išpuolis prieš programinės įrangos tiekimo grandinę. Kažkas gali panaudoti šį ragintą užgrobimą, kad įterptų blogą kodą, pavogtų duomenis arba paleistų komandas, o visa tai atrodytų kaip naudinga programuotojo įrankių rinkinio dalis.
Kaip veikia ši MCP raginimo užgrobimo ataka
Ši skubi užgrobimo ataka sujaukia sistemos ryšį naudojant MCP, o ne paties AI saugumą. Konkretus trūkumas buvo nustatytas Oat++ C++ sistemos MCP sąrankoje, kuri programas jungia su MCP standartu.
Problema kyla dėl to, kaip sistema tvarko ryšius naudodama serverio išsiųstus įvykius (SSE). Kai prisijungia tikras vartotojas, serveris suteikia jam sesijos ID. Tačiau sugedusi funkcija naudoja seanso kompiuterio atminties adresą kaip seanso ID. Tai prieštarauja protokolo taisyklei, kad seanso ID turi būti unikalūs ir kriptografiškai saugūs.
Tai blogas dizainas, nes kompiuteriai dažnai pakartotinai naudoja atminties adresus, kad taupytų išteklius. Užpuolikas gali tuo pasinaudoti greitai sukurdamas ir uždarydamas daugybę seansų, kad įrašytų šiuos nuspėjamus seanso ID. Vėliau, kai prisijungs tikras vartotojas, jis gali gauti vieną iš šių perdirbtų ID, kuriuos užpuolikas jau turi.
Kai užpuolikas turi galiojantį seanso ID, jis gali siųsti savo užklausas serveriui. Serveris negali atskirti užpuoliko ir tikrojo vartotojo, todėl siunčia kenkėjiškus atsakymus atgal į tikrojo vartotojo ryšį.
Net jei kai kurios programos priima tik tam tikrus atsakymus, užpuolikai dažnai gali tai apeiti išsiųsdami daug pranešimų su įprastais įvykių numeriais, kol vienas bus priimtas. Tai leidžia užpuolikui sujaukti modelio elgesį nekeičiant paties AI modelio. Bet kuri naudojasi įmonė oatpp-mcp su įjungtu HTTP SSE tinkle, kurį gali pasiekti užpuolikas, kyla pavojus.
Ką turėtų daryti AI saugumo lyderiai?
Šios greito MCP užgrobimo atakos atradimas yra rimtas įspėjimas visiems technologijų lyderiams, ypač CISO ir CTO, kurie kuria ar naudoja AI asistentus. Kadangi dirbtinis intelektas vis labiau tampa mūsų darbo eigos dalimi naudojant tokius protokolus kaip MCP, jis taip pat įgyja naujų pavojų. Dabar svarbiausias prioritetas yra saugoti teritoriją aplink AI.
Nors šis specifinis CVE veikia vieną sistemą, greito užgrobimo idėja yra bendra. Norėdami apsisaugoti nuo šios ir panašių atakų, lyderiai turi nustatyti naujas savo AI sistemų taisykles.
Pirmiausia įsitikinkite, kad visos AI paslaugos naudoja saugų seansų valdymą. Kūrimo komandos turi užtikrinti, kad serveriai sukurtų seansų ID naudodami stiprius atsitiktinius generatorius. Tai privaloma turėti bet kuriame AI programų saugos kontroliiniame sąraše. Naudoti nuspėjamus identifikatorius, pvz., atminties adresus, nėra gerai.
Antra, sustiprinkite vartotojo pusės apsaugą. Klientų programos turėtų būti sukurtos taip, kad atmestų bet kokį įvykį, kuris neatitinka numatomų ID ir tipų. Paprastiems, didėjantiems įvykių ID gali kilti atakų pavojus, todėl juos reikia pakeisti nenuspėjamais identifikatoriais, kurie nesusiduria.
Galiausiai AI protokolams naudokite nulinio pasitikėjimo principus. Apsaugos komandos turi patikrinti visą AI sąranką – nuo pagrindinio modelio iki protokolų ir tarpinės programinės įrangos, jungiančių jį su duomenimis. Šiems kanalams reikalingas griežtas seansų atskyrimas ir galiojimo laikas, kaip ir žiniatinklio programose naudojamas seansų valdymas.
Ši MCP užgrobimo ataka yra puikus pavyzdys, kaip žinoma žiniatinklio programų problema, seanso užgrobimas, AI pasirodo nauju ir pavojingu būdu. Apsaugoti šiuos naujus AI įrankius reiškia taikyti šiuos tvirtus saugos pagrindus, kad sustabdytumėte atakas protokolo lygiu.
Taip pat žiūrėkite: Kaip dirbtinio intelekto pritaikymas perkelia IT operacijas iš reaktyvių į aktyvias
Norite daugiau sužinoti apie AI ir didelius duomenis iš pramonės lyderių? Peržiūrėkite „AI & Big Data Expo“, vykstančią Amsterdame, Kalifornijoje ir Londone. Išsamus renginys yra „TechEx“ dalis ir vyksta kartu su kitais pagrindiniais technologijų renginiais, įskaitant „Cyber Security Expo“. Norėdami gauti daugiau informacijos, spustelėkite čia.
AI naujienas teikia TechForge Media. Čia rasite kitus būsimus įmonių technologijų renginius ir internetinius seminarus.
