理解模型上下文協定 (MCP)
由 Anthropic 於 2024 年底推出,MCP 作為一個至關重要的介面,經常被比喻為 ‘GenAI 的 USB-C 連接埠’。它允許諸如 Claude 3.7 Sonnet 和 Cursor AI 等工具與各種外部資源無縫互動,包括資料庫、應用程式介面 (APIs) 和本地系統。這種整合能力使企業能夠自動化複雜的工作流程並提高營運效率。然而,MCP 內目前的權限框架缺乏足夠的保護措施,使其容易受到惡意行為者的利用,他們可能會為了不正當的目的而劫持這些整合。
詳細攻擊情境
1. 惡意套件入侵本地系統
在第一個概念驗證 (PoC) 攻擊中,研究人員展示了一個精心製作的惡意 MCP 套件如何偽裝成用於檔案管理的合法工具。當毫無戒心的使用者將此套件與 Cursor AI 等工具整合時,它會在他們不知情或未經他們同意的情況下執行未經授權的指令。
攻擊機制:
- 欺騙性封裝: 惡意套件的設計使其看起來像是用於檔案管理的標準、安全的工具。
- 未經授權的執行: 整合後,該套件會執行使用者未授權的指令。
- 概念驗證: 該攻擊透過突然啟動計算機應用程式來證明,這是未經授權的指令執行的明顯跡象。
實際影響:
- 惡意軟體安裝: 受損的套件可用於在受害者的系統上安裝惡意軟體。
- 資料外洩: 敏感資料可以從系統中提取並傳送給攻擊者。
- 系統控制: 攻擊者可以獲得對受損系統的控制權,從而使他們能夠執行各種惡意活動。
這種情境凸顯了 MCP 套件需要強大的安全檢查和驗證流程,以防止將惡意程式碼引入企業系統。
2. 文件提示注入劫持伺服器
第二個 PoC 攻擊涉及一種複雜的技術,即使用上傳到 Claude 3.7 Sonnet 的經過操縱的文件。該文件包含一個隱藏的提示,在處理時,該提示會利用具有檔案存取權限的 MCP 伺服器。
攻擊機制:
- 經過操縱的文件: 該文件的製作包括一個隱藏的提示,該提示對於使用者而言並不明顯。
- 隱藏提示執行: 當 GenAI 工具處理文件時,將執行隱藏的提示。
- 伺服器漏洞利用: 該提示利用 MCP 伺服器的檔案存取權限來執行未經授權的操作。
攻擊結果:
- 檔案加密: 該攻擊透過加密受害者的檔案來模擬勒索軟體情境,使它們無法存取。
- 資料竊取: 攻擊者可以使用此方法來竊取儲存在伺服器上的敏感資料。
- 系統破壞: 可以破壞關鍵系統,從而導致嚴重的營運中斷。
此攻擊強調了實施嚴格的輸入驗證和安全協定以防止在 GenAI 環境中執行惡意提示的重要性。
核心漏洞識別
研究人員指出了兩個主要問題,這些問題導致了 MCP 缺陷的嚴重性:
- 過度授權的整合: MCP 伺服器通常配置了過多的權限,例如不受限制的檔案存取權限,這對於其預期功能而言並非必要。這種過度授權為攻擊者創造了機會來利用這些廣泛的存取權限。
- 缺乏防護措施: MCP 缺乏內建的機制來驗證 MCP 套件的完整性和安全性,或偵測嵌入在文件中的惡意提示。缺乏安全檢查使攻擊者可以繞過傳統的安全措施。
這些漏洞的結合使惡意行為者能夠將看似良性的檔案或工具武器化,將它們變成攻擊的有力載體,從而可能損害整個系統和網路。
放大供應鏈風險
MCP 中的缺陷還放大了供應鏈風險,因為受損的 MCP 套件可以透過第三方開發人員滲透到企業網路中。這意味著即使組織擁有強大的內部安全措施,如果其供應商之一受到損害,它仍然可能容易受到攻擊。
漏洞途徑:
- 受損的開發人員: 第三方開發人員的系統受到損害,從而使攻擊者可以將惡意程式碼注入到其 MCP 套件中。
- 散佈: 受損的套件散佈給依賴開發人員工具的組織。
- 滲透: 當受損的套件整合到組織的系統中時,惡意程式碼會滲透到企業網路中。
這種情境凸顯了組織需要仔細審查其第三方供應商,並確保他們已採取強大的安全措施。
合規性和監管威脅
處理敏感資料的行業,例如醫療保健和金融,由於此漏洞而面臨更高的合規性威脅。如果攻擊者洩露受保護的資訊,則可能會違反 GDPR(通用資料保護條例)或 HIPAA(健康保險流通與責任法案)等法規。
合規性風險:
- 資料外洩通知法: 如果發生資料外洩,組織可能需要通知受影響的各方和監管機構。
- 財務處罰: 不遵守法規可能會導致嚴重的財務處罰。
- 聲譽損害: 資料外洩可能會損害組織的聲譽並削弱客戶的信任。
這些風險強調了組織需要實施強大的安全措施來保護敏感資料並遵守法規要求。
緩解策略
為了有效地降低與此漏洞相關的風險,組織應實施以下緩解策略:
- 限制 MCP 權限: 應用最小權限原則來限制檔案和系統存取。這意味著僅授予 MCP 伺服器執行其預期功能所需的最低權限。
- 掃描上傳的檔案: 部署 AI 專用工具來偵測文件中的惡意提示,然後再由 GenAI 系統處理它們。這些工具可以識別並阻止可能用於利用漏洞的提示。
- 稽核第三方套件: 在部署之前,徹底審查 MCP 整合是否存在漏洞。這包括檢查程式碼中是否存在任何惡意活動的跡象,並確保套件來自受信任的來源。
- 監控異常: 持續監控連接到 MCP 的系統是否存在異常活動,例如意外的檔案加密或未經授權的存取嘗試。這有助於即時偵測和回應攻擊。
Anthropic 的回應
Anthropic 已承認安全研究人員的發現,並已承諾在 2025 年第三季度引入精細的權限控制和開發人員安全指南。這些措施旨在提供更好的安全性和對 MCP 整合的控制,從而降低漏洞利用的風險。
專家建議
同時,專家敦促企業以與未經驗證的軟體相同的謹慎態度對待 MCP 整合。這意味著在部署任何 MCP 整合之前,先進行全面的安全評估並實施強大的安全控制。
主要建議:
- 將 MCP 整合視為可能不受信任的軟體。
- 在部署之前進行全面的安全評估。
- 實施強大的安全控制以降低風險。
這種謹慎的方法提醒我們,儘管 GenAI 具有變革性的潛力,但它也帶來了不斷演變的風險,必須仔細管理這些風險。透過採取主動步驟來保護其 GenAI 環境,組織可以保護自己免受此漏洞可能造成的後果。
生成式 AI 技術的快速發展需要安全措施的並行演變,以防範新出現的威脅。MCP 漏洞提醒我們,在將 AI 工具與現有系統整合時,強大的安全實務的重要性。隨著企業繼續採用和利用 GenAI 解決方案,採取警惕和積極主動的安全方法對於降低風險並確保安全且負責任地使用這些強大的技術至關重要。安全研究人員、AI 開發人員和行業利害關係人之間的持續合作對於應對這些挑戰並培養安全且值得信賴的 AI 生態系統至關重要。