Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
MCP Sunucusu, kullanıcılar arasında hata riskini verdikten günler sonra durdu
Rashmi Ramesh (Rashmiramesh_) •
23 Haziran 2025
Asana, yapay zeka entegrasyon özelliğinde, kullanıcıların diğer kuruluşlardan verileri görüntülemelerine izin verebilecek bir güvenlik açığı düzenledi. Düzeltmeyi uygulamak için Asana Model Bağlam Protokolünün yaklaşık iki hafta boyunca kullanımını duraklattı.
Ayrıca bakınız: Verileri Güçlendirecek Verileri Dönüştürmek AI: Değer, Güven ve Etkinin Kilidini Açma
Zaman yönetimi şirketi, AI sistemlerinin mesajlaşma platformları ve kurumsal uygulamalar gibi harici veri kaynaklarıyla etkileşime girmesini sağlayan açık kaynaklı bir çerçeve olan MCP’nin uygulanmasında kusuru keşfetti. MCP sunucusunu 5 Haziran ve 17 Haziran arasında devre dışı bıraktı.
AI dev antropik, dil modellerinin ve AI ajanlarının yapılandırılmış kurumsal bilgilerle arayüz oluşturduğu durumları desteklemek için geçen Kasım ayında MCP’yi tanıttı (bakınız: AI Giants, Antropik’in Uygulamaları Bağlamak için Standardı’nı benimser, Temsilciler).
Asana, müşterilerin doğal dil ve üçüncü taraf AI uygulamalarını kullanarak proje verilerini platformlar arasında sorgulamalarına izin vermek amacıyla entegrasyonunu 1 Mayıs’ta başlattı.
MCP sunucu kusuru, sosyal medya ağı X’e gönderilen bir mesaj formuna göre, “Asana etki alanınızdan diğer Asana MCP kullanıcılarına belirli bilgileri de ortaya çıkarabilir”. Şirket, kaç müşterinin etkilendiğini veya herhangi bir verinin gerçekten yetkisiz taraflar tarafından görüntülenip görüntülendiğini belirtmedi.
Asana, MCP sunucusunu kusurun 4 Haziran keşfinden sonraki gün çevrimdışı aldı. Asana Salı günü, daha önce entegrasyonu etkinleştiren kullanıcıların yeniden bağlanması gerektiğine rağmen, özelliğin geri alındığını söyledi.
Şirket, “Kuruluşunuz MCP sunucusunu kullanıyorsa ve bu sorundan etkileniyorsa, size doğrudan önemli ayrıntılar ve sonraki adımlarla size ulaştık.” Dedi. “İyileştirme çabalarımızın bir parçası olarak, MCP sunucusuna tüm bağlantıları sıfırlıyoruz.”
Siber güvenlik firması UpGuard, bir AI sisteminin bu tür sorunları önlemek için ne kadar veri görebileceği veya etkileşim kurabileceğini sınırlamak için “katı kiracı izolasyonu ve en az privilge erişimini” zorlamanın. Ayrıca, kuruluşlara gelecekteki denetimleri ve soruşturmaları desteklemek için tüm LLM tarafından oluşturulan sorguları günlüğe kaydetmelerini tavsiye etti.