Des centaines de serveurs de protocole de contexte modèle (MCP) utilisés pour lier les LLM aux services, sources de données et outils tiers incluent des configurations par défaut qui pourraient exposer les utilisateurs à l’exécution de la commande OS non autorisée et à d’autres risques.
L’IA agentique est en augmentation, et les serveurs de protocole de contexte de modèle (MCP) se révèlent rapidement être des outils essentiels pour fournir des modèles d’IA plus importants pour le raisonnement. Mais les chercheurs en sécurité avertissent qu’un grand nombre de ces serveurs partagés publiquement, qui relient les modèles de grande langue (LLM) à une variété de services, de sources de données et d’outils tiers, ont des configurations non sécurisées qui pourraient être abusées par les attaquants pour compromettre les systèmes ou la fuite de données sensibles.
Des chercheurs de la société de sécurité des applications sont réduits par BackSlash ont récemment numérisé des milliers de serveurs MCP dans des référentiels publics et ont trouvé des centaines qui avaient des erreurs de conformité dangereuses, notamment une exposition par défaut à des réseaux non fiables et des chemins d’injection de commandement du système d’exploitation.
« Au-delà de l’exécution du code, les MCP peuvent servir de voies furtives pour l’injection rapide et l’empoisonnement contextuel », a écrit des chercheurs en barreaux dans un rapport sur les vulnérabilités du serveur MCP. «Le contenu public malveillant ou manipulé peut modifier ce qu’un LLM voit – renvoyer des données trompeuses ou redouter la logique de l’agent.»
Serveurs MCP: infrastructure d’agent d’IA vital
Le protocole de contexte modèle, développé par la société AI Anthropic, vise à standardiser comment les LLM interagissent avec les sources de données externes et les outils bidirectionnellement et de manière persistante pour améliorer leur contexte de raisonnement. Cela est essentiel pour la construction d’agents d’IA et pour le codage d’ambiance, une pratique de développement dans laquelle les LLM sont guidées pour créer des applications entières basées sur des invites en langage naturel des humains.
Sortie il y a moins d’un an, le protocole a connu une adoption rapide avec des dizaines de milliers de serveurs – des applications qui relient les LLM à des services spécifiques et des outils propriétaires – désormais publiés en ligne. Anthropic lui-même a publié des implémentations de référence des serveurs MCP pour interagir avec Google Drive, Slack, Github, Git, Postgres, Puppeteer, Stripe et d’autres services populaires. En mars, OpenAI a adopté MCP et Google a annoncé son intention en avril d’intégrer MCP à ses modèles et à ses infrastructures Gemini.
Il existe également des MCP qui s’intègrent à des environnements de développement intégrés AI populaires (IDE) tels que le curseur, la planche à voile et le ZED. En plus d’accéder aux outils externes, MCPS peut interagir avec les systèmes de fichiers locaux, créer des graphiques de connaissances dans la mémoire du système, récupérer le contenu Web à l’aide d’outils de ligne de commande locale et exécuter les commandes système, entre autres tâches.
«Voisinjack»: ouvrir des serveurs MCP sur Internet
De nombreux serveurs MCP manquent d’authentification forte par défaut. Déployés localement sur un système, toute personne ayant accès à son interface de communication peut potentiellement émettre des commandes via le protocole pour accéder à ses fonctionnalités. Ce n’est pas nécessairement un problème lorsque le serveur MCP écoute uniquement avec l’adresse locale 127.0.0.1, également connue sous le nom de LocalHost, qui garantit qu’elle ne peut être accessible que par des applications exécutées sur la même machine.
Mais les chercheurs à barres réformes ont trouvé des centaines de serveurs MCP configurés par défaut pour lier leur interface de communication à 0,0.0.0, ce qui signifie toutes les interfaces de réseau. En conséquence, ces serveurs sont également exposés à Internet si aucun pare-feu supplémentaire n’est en place – un problème de configuration que les chercheurs ont surnommé «voisinjack».
« Imaginez que vous codiez dans un espace de coworking partagé ou un café », a suggéré les chercheurs. « Votre serveur MCP s’exécute silencieusement sur votre machine. La personne assise près de chez vous, sirotant son latte, peut désormais accéder à votre serveur MCP, usurper l’identité d’outils et potentiellement exécuter des opérations en votre nom. C’est comme laisser votre ordinateur portable ouvert – et déverrouillé pour tout le monde dans la pièce. »
Exécution de la commande OS non authentifiée
L’ampleur des abus à un serveur MCP dépend de sa fonctionnalité spécifique. Dans de nombreux cas, un attaquant peut être en mesure d’interroger une source de données propriétaire ou d’accéder à un service tiers via des informations d’identification configurées sur le MCP.
Cependant, pour des dizaines de serveurs MCP, les chercheurs ont pu identifier les chemins d’attaque qui ont entraîné une exécution arbitraire de commande sur le système d’exploitation sous-jacent avec les privilèges du serveur. Des exemples de problèmes identifiés comprennent l’utilisation imprudente d’un sous-processus, un manque de désinfection d’entrée ou des bogues de sécurité, tels que la traversée de chemin.
« Lorsque l’exposition au réseau répond aux autorisations excessives, vous obtenez la tempête parfaite », ont déclaré les chercheurs. « Toute personne sur le même réseau peut prendre le contrôle total de la machine hôte exécutant le serveur MCP – pas de connexion, pas d’autorisation, pas de bac à sable. Un accès complet pour exécuter n’importe quelle commande, gratter la mémoire ou imiter des outils utilisés par les agents de l’IA. Et oui, nous avons trouvé plusieurs serveurs avec cette combinaison exacte. »
Injection rapide et intoxication contextuelle
Étant donné que les serveurs MCP sont conçus pour accéder aux sources de données, telles que des bases de données, et pour gratter les documents et le contenu Web à l’aide d’une variété d’outils, ils ont une grande surface d’attaque à distance via une entrée malveillante.
Dans une preuve de concept, les chercheurs en barreaux ont construit un serveur MCP qui a utilisé la bibliothèque Cheerio pour extraire les métadonnées des pages Web. Ils l’ont ensuite pointé sur un site Web qui contenait du texte caché dans la balise de titre conçue pour lire comme une invite système pour un LLM.
Le MCP était lié au curseur IDE, donc lorsqu’il a exécuté le grattage Web, le curseur a interprété l’invite, qui lui a demandé de renvoyer la clé Openai configurée localement de l’utilisateur sur le site Web contrôlé par les chercheurs. Il s’agit d’une attaque connue sous le nom d’injection rapide et d’intoxication contextuelle.
« Dans une conclusion encore à sortir, nous avons identifié un chemin d’exploitation impliquant un document public apparemment bénin qui devient le déclencheur d’un compromis en cascade – parce que le MCP l’a connecté silencieusement à la logique de l’agent LLM sans frontières appropriées », ont ajouté les chercheurs. « Le problème n’était pas une vulnérabilité dans le code MCP lui-même, mais plutôt dans la configuration de la source de données, ce problème affecte un outil très populaire avec 10 000 utilisateurs, et nous travaillons actuellement avec le fournisseur pour coordonner la divulgation responsable. »
Atténuation
L’équipe de contrebands a publié ses évaluations des risques du MCPS testé dans une base de données consultable gratuite appelée BackSlash MCP Server Security Hub. Les chercheurs offrent également un service Web gratuit pour évaluer les configurations IDE pour les règles de codage MCPS, LLMS et active qui pourraient introduire des risques de sécurité, mais l’outil nécessite l’enregistrement.
Pour les développeurs de serveurs MCP, l’équipe a plusieurs recommandations, notamment valider et désinfecter toutes les entrées externes, restreindre l’accès au système de fichiers, éviter la fuite de données sensibles telles que les jetons et les journaux internes dans les réponses LLM, la mise en œuvre des contrôles d’accès sur les appels API et les fonctionnalités des outils, la validation de la source des données du MCP et la consommation de STDIO).
