Ajan AI, Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Gelişim
LLM’leri her zaman güvenli MCP sunucularını harici sistemlere bağlayan uzmanlar uyarıyor
Mathew J. Schwartz (Euroinfosec) •
9 Temmuz 2025
Yine oluyor. Great Fanfare’e yayılan yeni teknoloji, araştırmacıların figüratif bir kamyonu sürebileceklerini buldukları güvenlik deliklerine sahiptir. Şimdi, yapay zeka araçlarının harici uygulamalarla bağlantı kurmasını kolaylaştırmak için tasarlanmış bir standart olan model bağlam protokolü ve veri kaynakları kötü niyetli kullanıma dönüştürülebilir.
Ayrıca bakınız: Kavram kanıtı: AI ajanlarının yaşı için kimliği yeniden düşünmek
Araştırmacılar Çarşamba günü yaptığı açıklamada, geçen Kasım ayında Antropik tarafından tanıtılan açık protokolün etrafındaki ekosistemdeki araçlara bağlı iki ayrı güvenlik açığı keşfettiklerini söyledi. MCP, büyük dil modellerini harici veri ve sistemlerle bağlamak için standartlaştırılmış ve yaygın olarak benimsenen bir yöntem sağlar. Geliştiriciler bunu daha iyi sohbet arayüzleri, özel AI iş akışları oluşturmak, AI kodlama asistanlarını geliştirme ortamlarına oluşturmak ve daha fazlasını oluşturmak için kullanıyor (bkz:: AI Giants, Antropik’in Uygulamaları Bağlamak için Standardı’nı benimser, Temsilciler).
Ayrı olarak serbest bırakılan koordineli güvenlik açıkları açıklamalarında ayrıntılı olarak açıklanan kusurlar, MCP-Remote ve MCP müfettişi adlı bir araçta mevcuttur. Sistemlerdeki uzaktan istismar için kullanılabilen her iki kusur da Haziran ayında yayınlanan MCP sürümlerinde yamalanmıştır.
Yamalı: MCP-Remote
DevOps platformundaki araştırmacılar JFrog, MCP -Remote projesinde, bir MCP istemcisini – Claude masaüstü, imleç ve rüzgar sörfü gibi – bağlamak için tasarlanmış bir güvenlik açığı keşfetti, bu da yerel sunucuları uzak bir MCP sunucusuna destekleyen ve kimlik doğrulama için daha fazla destek verdiler.
CVE-2025-6514 olarak izlenen ve 9.6 “kritik” bir CVSS puanı atanan kusur, 0.0.5 ila 0.1.15 MCP-Remote sürümlerinde bulunur. Kusur, müşterinin işletim sistemindeki kodu uzaktan yürütmek için kullanılabilir.
Proje ekibi, Haziran ortasında piyasaya sürülen 0.1.16 sürümüyle kusuru düzeltti.
JFrog’daki güvenlik açığı araştırma ekibi lideri Peles veya Peles, “MCP-Remote kullanan herkes, etkilenen bir versiyonu kullanarak güvenilmeyen veya güvensiz bir MCP sunucusuna bağlanıyor” dedi.
Güvenlik açığı, bir MCP istemcisinin, kaçırılmış veya kötü niyetli olacak şekilde tasarlanmış bir sunucuya bağlanmak için MCP-Remote’u kullanması için kullanılabilir. Alternatif olarak, saldırganlar yerel alan ağına erişirse, özellikle müşteri, şifrelenmemiş HTTP kullanarak sunucuya güvensiz bir şekilde bağlanırsa, ortadaki bir adam saldırısı başlatabilirler. Peles, ikinci saldırı senaryosunun, kullanıcıların kendilerine güvenme olasılığı daha yüksek olacağından, kendi kendine MCP sunucularına ev sahipliği yapan kuruluşlarda olacağını söyledi.
MCP-Remote Project’in aracı, GitHub sayfası aracılığıyla yazılımı uyaran dikkate değer bir uyarı taşıyor: “Bu, çalışan bir kavram kanıtıdır, ancak deneysel olarak düşünülmelidir” ve aynı zamanda geçici bir çözüm olması gerekiyordu. “Seçtiğiniz MCP istemcisi uzak, yetkili sunucuları desteklediğinde, kaldırabilirsiniz” diyor.
Son haftalarda, İmleç ve Windsurf gibi LLM ana bilgisayarları doğrudan MCP sunucularıyla bağlantı kurma yeteneği ekledi. Antropic bunu şimdi Claude kullanıcıları için ücretli bir özellik olarak sunuyor.
MCP-Remote kullanımı azalsa bile, Peles, MCP sunucularına uzaktan bağlantı kurmak için tasarlanmış gelecekteki yazılımlarda benzer güvenlik açıklarının ortaya çıkacağını öngörür.
Peles, “Uzak MCP sunucuları, yönetilen ortamlardaki AI yeteneklerini genişletmek için oldukça etkili araçlar olsa da, kodun hızlı yinelemesini kolaylaştırıyor ve yazılımın daha güvenilir bir şekilde sunulmasına yardımcı olmakla birlikte, MCP kullanıcılarının yalnızca HTTP’ler gibi güvenli bağlantı yöntemlerini kullanarak güvenilir MCP sunucularına bağlanmaya dikkat etmeleri gerekiyor.” “Aksi takdirde, CVE-2025-6514 gibi güvenlik açıklarının, sürekli büyüyen MCP ekosisteminde MCP istemcilerini ele geçirmesi muhtemeldir.”
Yamalı: MCP Müfettişi
Ayrıca Çarşamba günü, araştırmacılar MCP’ye bağlı başka bir kusurun ayrıntılarını yayınladı, bu kez Antropic’in model bağlam protokol ekibi tarafından korunan MCP sunucularını test etmek ve hata ayıklamak için tasarlanmış popüler MCP Müfettiş aracında. Araç yaygın olarak kullanılmaktadır, son zamanlarda haftalık 38.000 indirime ulaşır.
Tenable’daki araştırmacılar, Çarşamba günü koordineli bir güvenlik açığı açıklamasında, MCP müfettişinin varsayılan sürümlerinde bir kusur keşfettiklerini, saldırganların internete maruz kalması veya bir kullanıcıyı kötü niyetli bir web sitesini ziyaret etmesi için kandırarak otomatik olarak hiçbir kullanıcı etkileşimi olmadan doğrudan kötüye kullanabileceğini söyledi. Tenable, “Bu mümkün oldu çünkü aracın kimlik doğrulama ve güvenli ağ yapılandırmaları gibi temel, kutu dışı güvenlik kontrolleri yoktu.” Dedi.
Saldırganlar, tüm kurulumlarda varsayılan olarak var olan kusurdan yararlanarak, kendilerine kalıcı, uzaktan erişim sağlamak için hedeflenen bir sistemde ters bir kabuk oluşturabilirler. Sistemde depolanan verileri çalabilir, sistemi bir ağın içinde yanal olarak hareket ettirmek için bir lansman rampası olarak kullanabilir ve Flaw’ı keşfeden Tenable Personel Araştırma Mühendisi Rémy Marot, fidye yazılımı da dahil olmak üzere kötü amaçlı yazılım dağıtabilir.
Güvenlik açığı CVE-2025-49596 olarak izlenir ve 0.14.1’den önce MCP Müfettişinin sürümlerinde “kritik” CVSS puanı 9.4’tür.
Antropik geçen ay kusuru düzeltmek için 0.14.1 sürümünü yayınladı. Proje ekibi, “MCP Müfettişinin 0.14.1’in altındaki sürümleri 0.14.1’in altındaki sürümleri, müfettiş istemcisi ve proxy arasındaki kimlik doğrulama eksikliği nedeniyle uzaktan kod yürütülmesine karşı savunmasızdır, bu da bir güvenlik danışmanında MCP komutları başlatması için kimlik doğrulanmamış taleplere izin verir.” Dedi. “Kullanıcılar, bu güvenlik açıklarını ele almak için derhal 0.14.1 veya üstüne yükseltilmelidir.”
Tenable, “Antropik şimdi kimlik doğrulamasını zorluyor ve bir oturum belirtecinin kullanılmasını gerektiriyor; hizmetler sadece yerel evlere bağlı, ağ erişimi yoluyla doğrudan sömürüyü önleyiyor ve güvenilir kökenler kısıtlandı, böylece siteler arası saldırıları azaltıyor.” Dedi.
JFrog’un temel sondajında olduğu gibi, MCP kullanıcılarına yalnızca güvenilir sunuculara bağlandıklarından emin olmaları ve bunu yaparken her zaman kimlik doğrulamasını kullanmaları için tavsiye edin – Tenable, MCP gelişimine uygulanmadığını öğrenen eski derslerin görüldüğünü söyledi.
Özellikle Marot, MCP geliştiricilerinin, MCP istemcisi aracılığıyla yapılan LLM girişlerinin altta yatan ve maruz kalan hizmetleri hedeflemesini önlemek için girdileri sterilize edemeyen bir artışı izlediğini söyledi. Zaman tasarrufu sağlayan bir önlem olarak sabit kodlama hassas kimlik bilgileri başka bir yaygın sorundur.
Birçok geliştirici, MCP sunucularına erişimi kısıtlamalarını sağlamak için kimlik doğrulama ve yetkilendirmeyi yerine getiremiyor. Bazı durumlarda, kuruluşlar MCP sunucularının yerel kullanım için olduğu için dış saldırı konusunda endişelenmelerine gerek olmadığını varsaymaktadır. Ancak hizmet, bir LAN aracılığıyla HTTP aracılığıyla mevcut olduğundan, altyapıya erişen saldırganlar bunu kötüye kullanabilir.
Antropic MCP’yi geçen Kasım ayında piyasaya sürdüğünden beri, küresel olarak 15.000’den fazla MCP sunucusu konuşlandırıldı ve halka açık olarak, Backslash Security’deki araştırmacılar geçen ay bildirdi. Bunlardan yaklaşık 7.000’i internete açık bir şekilde maruz kalıyor ve erişimi kısıtlamak için her zaman kimlik doğrulama kontrollerine sahip değil.
Tenable’s Marot, “MCP, AI yazılımı ekosistemlerinde önemli bir rol gerektirirken, kuruluşlara veri sömürüsünde veya iş iş akışlarında ve zekasında yeni fırsatlar getiriyor olsa da, dikkatlice uygulanmalıdır.” Dedi. “Geliştiricilerin güvenlik en iyi uygulamalarını takip etmeleri ve geleneksel tehditlerin yanı sıra AI teknolojilerinden ortaya çıkan belirli güvenlik açıklarına karşı korunmaları gerekiyor.”