Νέα επίθεση έγχυσης προτροπής μέσω κακόβουλων διακομιστών MCP επιτρέπουν στους επιτιθέμενους να εξαντλήσουν πόρους

Οι ερευνητές ασφαλείας ανακάλυψαν κρίσιμα τρωτά σημεία στη λειτουργία δειγματοληψίας Μοντέλου Πρωτοκόλλου Πλαισίου (MCP).

Αποκάλυψη του τρόπου με τον οποίο οι κακόβουλοι διακομιστές μπορούν να εκμεταλλευτούν εφαρμογές ενσωματωμένες στο LLM για να πραγματοποιήσουν κλοπή πόρων, πειρατεία συνομιλιών και μη εξουσιοδοτημένες τροποποιήσεις του συστήματος.

Το Πρωτόκολλο Model Context Protocol, που εισήχθη από την Anthropic τον Νοέμβριο του 2024, τυποποιεί τον τρόπο με τον οποίο τα μεγάλα γλωσσικά μοντέλα ενσωματώνονται με εξωτερικά εργαλεία και πηγές δεδομένων.

Ενώ έχει σχεδιαστεί για τη βελτίωση των δυνατοτήτων AI, η λειτουργία δειγματοληψίας του πρωτοκόλλου, η οποία επιτρέπει στους διακομιστές MCP να ζητούν ολοκληρώσεις LLM, δημιουργεί σημαντικούς κινδύνους ασφαλείας όταν απουσιάζουν οι κατάλληλες διασφαλίσεις.

Τρία κρίσιμα διανύσματα επίθεσης

Οι ερευνητές του Paloalto κατέδειξαν τρεις επιθέσεις απόδειξης της ιδέας που πραγματοποιήθηκαν σε έναν ευρέως χρησιμοποιούμενο copilot κωδικοποίησης:

Κλοπή πόρων: Οι εισβολείς εισάγουν κρυφές οδηγίες σε αιτήματα δειγματοληψίας, με αποτέλεσμα τα LLM να δημιουργούν μη εξουσιοδοτημένο περιεχόμενο ενώ εμφανίζονται φυσιολογικά στους χρήστες.

Ένα κακόβουλο πρόγραμμα σύνοψης κώδικα, για παράδειγμα, προσάρτησε οδηγίες για τη δημιουργία φανταστικών ιστοριών παράλληλα με τη νόμιμη ανάλυση κώδικα. Κατανάλωση σημαντικών υπολογιστικών πόρων και πιστώσεων API χωρίς την επίγνωση των χρηστών.

Παραβίαση συνομιλίας: Οι παραβιασμένοι διακομιστές MCP μπορούν να εισάγουν επίμονες οδηγίες που επηρεάζουν ολόκληρες περιόδους συνομιλίας.

Σε επιδείξεις, κρυφές προτροπές ανάγκασαν τους βοηθούς AI να «μιλούν σαν πειρατές» σε όλες τις επόμενες απαντήσεις. Επίδειξη του τρόπου με τον οποίο οι κακόβουλοι διακομιστές αλλάζουν ριζικά τη συμπεριφορά του συστήματος και δυνητικά θέτουν σε κίνδυνο τη λειτουργικότητα.

Επίκληση κρυφού εργαλείου: Οι κακόβουλοι διακομιστές αξιοποιούν την έγκαιρη έγχυση για να ενεργοποιήσουν μη εξουσιοδοτημένες εκτελέσεις εργαλείων. Οι ερευνητές έδειξαν πώς οι κρυφές οδηγίες θα μπορούσαν να ενεργοποιήσουν λειτουργίες εγγραφής αρχείων, επιτρέποντας την εξαγωγή δεδομένων.

Μηχανισμοί εμμονής και μη εξουσιοδοτημένες τροποποιήσεις συστήματος χωρίς ρητή συναίνεση του χρήστη.

Η ευπάθεια προέρχεται από το σιωπηρό μοντέλο εμπιστοσύνης της δειγματοληψίας MCP και την έλλειψη ενσωματωμένων ελέγχων ασφαλείας.

Οι διακομιστές μπορούν να τροποποιήσουν τις προτροπές και τις απαντήσεις, επιτρέποντάς τους να περνούν σε κρυφές οδηγίες ενώ εξακολουθούν να εμφανίζονται ως κανονικά εργαλεία.

Η αποτελεσματική άμυνα απαιτεί πολλαπλά επίπεδα: ζητήστε απολύμανση χρησιμοποιώντας αυστηρά πρότυπα για να διαχωρίσετε το περιεχόμενο χρήστη από τις τροποποιήσεις διακομιστή.

Φιλτράρισμα απόκρισης για αφαίρεση φράσεων που μοιάζουν με οδηγίες και στοιχεία ελέγχου πρόσβασης για περιορισμό των δυνατοτήτων του διακομιστή.

Οι οργανισμοί θα πρέπει να εφαρμόζουν όρια διακριτικών με βάση τον τύπο λειτουργίας και να απαιτούν ρητή έγκριση για την εκτέλεση του εργαλείου.

Σύμφωνα με Δίκτυα Paloaltoοι οργανισμοί θα πρέπει να αξιολογούν λύσεις ασφάλειας τεχνητής νοημοσύνης, συμπεριλαμβανομένων των πλατφορμών προστασίας χρόνου εκτέλεσης και των ολοκληρωμένων αξιολογήσεων ασφάλειας.

Τα ευρήματα υπογραμμίζουν την κρίσιμη σημασία της διασφάλισης της υποδομής τεχνητής νοημοσύνης καθώς η ενσωμάτωση LLM γίνεται ολοένα και πιο διαδεδομένη σε όλες τις εταιρικές εφαρμογές.