Yapay Zeka (AI) alanı hızlı bir şekilde gelişmeye devam ettikçe, yeni araştırmalar, Tenable’ın yeni bir raporuna göre, model bağlam protokolünü (MCP) hızlı enjeksiyon saldırılarına duyarlı hale getiren tekniklerin güvenlik araçlarını geliştirmek veya kötü niyetli araçlar tanımlamak için nasıl kullanılabileceğini buldu.
Antropic tarafından Kasım 2024’te başlatılan MCP, büyük dil modellerini (LLMS) harici veri kaynakları ve hizmetleriyle bağlamak için tasarlanmış bir çerçevedir ve AI uygulamalarının doğruluğunu, alaka düzeyini ve faydasını artırmak için bu sistemlerle etkileşim kurmak için model kontrollü araçlardan yararlanmaktadır.
Claude masaüstü veya imleci gibi MCP istemcileri ile ana bilgisayarların her biri belirli araçları ve özellikleri ortaya çıkaran farklı MCP sunucularıyla iletişim kurmasına izin veren bir istemci-sunucu mimarisini takip eder.
Açık standart, çeşitli veri kaynaklarına erişmek ve hatta LLM sağlayıcıları arasında geçiş yapmak için birleşik bir arayüz sunarken, aşırı izin kapsamından dolaylı hızlı enjeksiyon saldırılarına kadar yeni bir risk seti ile birlikte gelirler.
Örneğin, Gmail’in Google’ın e -posta hizmetiyle etkileşime girmesi için bir MCP göz önüne alındığında, bir saldırgan, LLM tarafından ayrıştırıldığında, hassas e -postaları kontrolleri altındaki bir e -posta adresine iletme gibi istenmeyen eylemleri tetikleyebilecek gizli talimatlar içeren kötü amaçlı mesajlar gönderebilir.
MCP’nin, araç zehirlenmesi olarak adlandırılan şeye karşı savunmasız olduğu bulunmuştur, burada kötü niyetli talimatlar, LLM’ler tarafından görülebilen araç açıklamaları ve bir MCP aracı başlangıçta iyi huylu bir şekilde işlev gördüğünde ortaya çıkan, ancak daha sonra zaman gecikmiş bir kötü niyetli güncelleme yoluyla davranışını taklit eden halı çekme saldırılarına gömülür.
SentinelOne, son analizde, “Kullanıcılar araç kullanımını ve erişimi onaylayabilse de, bir araca verilen izinlerin kullanıcıyı yeniden yüklemeden yeniden kullanılabileceğine dikkat edilmelidir.” Dedi.
Son olarak, bir MCP sunucusunun diğer araçların nasıl kullanılması gerektiğine, başka bir MCP sunucusunun nasıl kullanılması gerektiğine neden olmasına veya müdahale etmesine neden olan çapraz tool kontaminasyonu veya çapraz-sunucu takım gölgeleme riski de vardır, böylece yeni veri açığa çıkma yollarına yol açar.
Tenable’ın son bulguları, MCP çerçevesinin, LLM’ye diğer herhangi bir araç çağrılmadan önce bu aracı eklemesi için talimat veren özel hazırlanmış bir açıklama ekleyerek tüm MCP araç işlev çağrılarını günlüğe atan bir araç oluşturmak için kullanılabileceğini gösteriyor.
Başka bir deyişle, hızlı enjeksiyon iyi bir amaç için manipüle edilir, yani “MCP sunucu adı, MCP araç adı ve açıklaması ve LLM’nin bu aracı çalıştırmaya çalışmasına neden olan kullanıcı istemi dahil” çalıştırılması istenen araç. “
Başka bir kullanım durumu, yetkisiz araçların çalıştırılmasını engelleyen bir tür güvenlik duvarına dönüştürmek için bir alete bir açıklamayı yerleştirmeyi içerir.
Güvenlik araştırmacısı Ben Smith, “Araçların çoğu MCP ana bilgisayar uygulamasında çalışmadan önce açık bir onay gerektirmelidir.” Dedi.
“Yine de, spesifikasyon tarafından kesinlikle anlaşılamayabilecek şeyler yapmak için araçların kullanılabileceği birçok yol vardır. Bu yöntemler, MCP araçlarının kendilerinin açıklaması ve geri dönüş değerleri yoluyla yönlendirmeye dayanmaktadır. LLM’ler de deterministik olmadığından, sonuçlar da sonuçlardır.”
Sadece MCP değil
Açıklama, TrustWave SpiderLabs’ın yeni tanıtılan Agent2Agent (A2A) protokolünün – aracı uygulamaları arasında iletişim ve birlikte çalışabilirlik sağlayan – sistemin yetenekleri hakkında yalan söyleyerek tüm Rogue AI ajanına yönlendirilebileceği yeni form saldırılarına maruz kalabileceğini ortaya koymuştur.
A2A, Google tarafından bu ayın başlarında AI ajanlarının kullanılan satıcı veya çerçeveye bakılmaksızın sessiz veri sistemleri ve uygulamaları üzerinde çalışmasının bir yolu olarak ilan edildi. Burada MCP LLMS’yi verilerle bağlarken, A2A’nın bir AI aracısını diğerine bağladığını belirtmek önemlidir. Başka bir deyişle, ikisi de tamamlayıcı protokollerdir.
Güvenlik araştırmacısı Tom Neaves, “Şimdi uzlaşmış düğümümüzü (belki de işletim sistemi aracılığıyla) (belki de işletim sistemi aracılığıyla), şimdi uzlaşmış düğümümüzü (ajan) kullanırsak ve bir ajan kartımızı kullanırsak ve yeteneklerimizi gerçekten abartıp gerçekten abarttıklarını söyleyin, o zaman ev sahibi ajan bizi her görev için her görev için seçmeli ve bize her görev için bizi göndermeli,” dedi.
“Saldırı sadece verileri yakalamayı bırakmakla kalmıyor, aktif olabilir ve hatta yanlış sonuçlar verebilir – bu da LLM veya kullanıcı tarafından aşağı yönde hareket edecek.”