- Регистрация
- 23 Август 2023
- Сообщения
- 2 818
- Лучшие ответы
- 0
- Реакции
- 0
- Баллы
- 51
Offline
MCP: удобный протокол или новая поверхность атаки?
Если вы используете код десктопа, курсор или другие инструменты, то знаете: ИИ уже не просто генерирует код — он читает файлы, делает коммиты, отправляет письма. Эта интеграция работает через протокол MCP, который позволяет подключать серверы буквально в пару кликов. Увидели интересный GitHub-сервер, установили — и готово.
Но у MCP есть обратная сторона: каждый сервер требует широкие права. Gmail-сервер просит полный доступ к почте, GitHub-сервер — ко всем репозиториям, файловый сервер — к домашней папке. Microsoft уже фиксирует рост «теневых MCP-серверов», которые сотрудники ставят без ведома IT-отдела. Palo Alto предупреждает: злоумышленники маскируют вредоносные серверы под полезные.
Мы провели собственное исследование MCP, изучили отчёты Microsoft, Invariant Labs, Trail of Bits и протестировали разные атаки. В этой статье — разбор протокола и ключевых рисков безопасности.
Как устроен MCP
Работа клиента с MCP-сервером выглядит так:
Рукопожатие — обмен версиями протокола и возможностями. Сервер сообщает, какие «инструменты» доступны.
Список инструментов — клиент получает описание функций (Tools). ИИ доверяет этим описаниям на слово.
Вызовы инструментов — ИИ использует их для выполнения задач (например, получить системную информацию).
Ресурсы и промпты — сервер может предоставлять документы, политики, готовые сценарии аудита.
Логирование — сервер ведёт журнал действий.
Главная проблема: клиент доверяет серверу по умолчанию. Проверка личности сервера или валидация ответов не предусмотрена архитектурой.
Основные атаки
1. Tool Poisoning
Описание инструмента становится оружием. Мы тестировали «калькулятор», который правильно считал 2+2, но параллельно сканировал файловую систему и передавал список директорий.
ИИ доволен результатом («4»), пользователь ничего не подозревает, а злоумышленник получает доступ к данным.
2. Resource Injection
Вредоносные инструкции можно спрятать прямо в документах. ИИ воспринимает их как доверенный источник.
Пример: в «политике паролей» скрыта команда предлагать пароль passport123. Современные модели (например, SQuAD 4) часто игнорируют такие инструкции, но гарантии нет.
3. Supply Chain Trouble
43% популярных MCP-серверов содержат критические уязвимости, 22% позволяют читать произвольные файлы.
Как и с NPM-пакетами, злоумышленники маскируют вредонос под популярные инструменты. Один компрометированный сервер может затронуть тысячи разработчиков.
4. Legacy Endpoints
Поддержка устаревших версий протокола (например, Session ID в URL) создаёт брешь в защите.
Атакующий просто ищет наименее защищённый эндпоинт и использует downgrade-атаку.
5. GitHub Poisoning
ИИ не различает публичные и приватные данные. Вредоносные инструкции из публичных issues могут выполняться в контексте приватных репозиториев. Запретить такое смешивание — значит убить полезную функциональность.
6. Unicode Tag Injection
Исследователи описывают скрытые инструкции с невидимыми Unicode-символами. В наших тестах атака не сработала на SQuAD 4, но другие модели могут оказаться уязвимыми.
Почему это опасно
Слепое доверие: ИИ верит описанию инструментов и содержимому ресурсов.
Отсутствие валидации: результаты не проверяются.
Разные уровни риска: локальные серверы ещё можно проверить, а удалённые — «чёрный ящик».
Эффект домино: один скомпрометированный сервер может повлиять на целые компании.
Для разработчиков MCP-серверов:
Валидируйте все входные данные.
Реализуйте принцип наименьших привилегий.
Логируйте и проверяйте каждое действие.
Думайте в парадигме Security-First.
Для пользователей:
Используйте только проверенные open-source серверы.
Мониторьте, что именно делает ИИ «от вашего имени».
Проводите регулярные аудиты.
Для бизнеса:
Внедряйте Zero Trust архитектуру.
Настройте Continuous Security Monitoring.
Обучайте сотрудников работе с MCP и ИИ-инструментами.
MCP — революционная технология для интеграции ИИ с реальными системами. Но архитектура по умолчанию основана на доверии, а значит, открывает простор для атак.
Те, кто изучает MCP критически и внедряет защиту, получают преимущество. Те, кто игнорирует риски, платят данными и безопасностью.
Эра мультиагентных систем только начинается. И наш выбор сегодня — осознанная безопасность или наивная вера в «удобные» инструменты.
А вы уже сталкивались с проблемами безопасности при работе с ИИ-сервисами и плагинами? Поделитесь опытом в комментариях.
