Protocole de contexte modèle (MCP) Wird Immer Croybter, Um Ki-Systeme MIT Datetenquellen und Services Zu Verbinden. Umso wichtiger ist es, diese schwachstellen auf dem scirm Zu Haben.
DER QULLOffene Standard Model Context Protocol (MCP) Lässt Ki-Systeme Ohne IntegrationsaUfwand Mit Einer Vielzahl von Datenquellen, Tools und Diesten Interagieren. Und schafft damit unter anderem die grundlage für agetic ai. Unternehmen, die mcp-server als teil ihrer ki-stratégéen Einsetzen Möchten, Sollten Sich Jédoch auch der Damit Verbundenen Risiken Bewusst Sein.
Deshalb Haben Wir dans Diesem Artikel die Zehn Größten Schwachstellen dans Zusammenhang MIT modèle de contexte Protocole Für Sie Zusamgentellt.
1. Datenlecks croisés
Ähnlich wie bei Cross-Site-Scripting-Angriffen Ermöglicht eine locataire-übergreifende datetenoffenlegung es einer grruppe von benutzern, auf daten anderer l’utilisateur Zuzugreifen. Das Kann Interne Teams Oder Auch GeschäftSpartner und Kunden Betreffen. Die Tatsache, Dass Diese Schwachstelle Bereits dans Der MCP-Server-Implatemierung von Asana Entdeckt Wurde, Sollte Ein Warnsignal Darstellen.
Laut den Forschern von Upguard, Die Das Problem Beim Tool-Anbieter Eingehend Analysiert Haben, Besteht Die Lösung Darin, Sicherzustellen, Dass McP-Server Eine Strikte Mandantentrennung Durchsetzen. Außerdem Sollte Beim Zugriff Das le moins de privile-prizip Angewendet Werden.
2. Injection rapide de Versteckte
Ein Angreifer, Der Sich als Mitarbeiter, GeschäftSpartner Oder Kunde Ausgibt, Sendet Eine Anfrage an Einen Menschlichen Support-Mitarbeiter. Diese enthält Jedoch Einen Versteckten invite mit anweisungen, die nur die ki lesen kann. Leitet der Support-Mensch Den demande Dann Einen Ki-Assistenten Weiter, Der über Seine Verbindung Zum McP-Server Auf Sensible Daten und Geschäftsprozesse Zugreifen Kann, Droht Erheblicher Scaden.
Um diese schwachstelle zu schließen, empfiehlt es sich für unternehmensanwender:
- für ki-interaktionen das le moins de privile-prizip durchzusetzen,
- Invites dans Echtzeit auf Verdächtige inhalte zu Analyseren, UND
- Audit-protokolle Aller McP-Aktivitäten Zu Führen.
3. Empoisonnement à l’outil
Einen MCP-Server Einzurichten, Kann Diffizil Sein. Auch Deshalb Steht Eine Vielzahl «Schlüsselfrertiger» McP-Server Zum Télécharger Bereit. Allerdings Sollten Anwender Davon Absehen, Einfach Den Erstbesten Herunterzuladen, den die google-suche Ausspuckt. Denn Handelt es sich dabei um ein maliziösses exemplaire, ist Möglicherwerweise das behschreibungsfeld des mcp-servers Manipuliert, um Informationen Aus anderen Systemen Zu Extraheren – und dabei Encryption parallèle – une section de sécurité-Maßnahmen Zu Umgehen. Dieses Vorgehen Demontier etwa der Sicherheitsanbieter invariant labs am beispiel von whatsapp im rahmen eines blogbeitrags.
Aber Nicht Nur Das Beschreibungsfeld des MCP-servers Kann Bösartige Anweisungen Enthalten. Die angriffsfläche erstreckt sich auf sämtliche Informationen, die von mcp-servern generser werden. Darunter Etwa:
- Funktionsnamen,
- Paramètre,
- Paramètre-standardwerte,
- Fehlermeldunggen,
- Proprié de suivi, oder
- Erforderliche Felder und tyn.
Um Das Zu Verhindern, Sollten Unternehmen Im ersten Schritt Prüfen, ob die Download-Quelle Vertrauenswürdig ist. Im nächsten Schritt Empfiehlt es sich Dann, die angeforderten Berechtigungen zu überprüfen. Ein MCP-Server, Der Cat Content Bereitstellen Soll, Benötigt Keinen Zugriff auf Ihr DateSystem. Überprüfen Sie Schließlich, Wenn Möglich Auch den Quelllcode. Das Kann Schwierigkeiten Aufwerfen – Weswegen Sich Hilfestellungen Empfehlen. Etwa sous forme des «McP Server Security Hub», Den Der SicherHeitsanbieter Backslash Bereitstellt.
Darüber Hinaus Sollten Sich Anwender Bewusst Sein, Dass Es Nicht Ausreicht, Einen MCP-Server Nur einmal Bei der Installation Zu überprüfen. Schließlich könnten angreifer ach die softwareliferkette ins visier nehmen und packages légitime nachträglich mit schadcode verseuchen – wie ein blogbeitrag von cyberark nahelegt.
4. « Offene » Injection rapide
Bösartige invite Müssen Nicht Versteckt Sein: EST AUCH Möglich, Ki-Agenten Dazu Zu Bring, Daten Preiszugeben Oder Schadcode über Ein Vertrauenswürdiges McP-Server-System Auszuführen – Einfach, Indem Die Inside injonction Auf eine öfführen Plattform Verlagert Wird.
Wie sich das bewerkstelligène lässt, Haben die forscher von variant labs am beispiel eines github-mcp-servers démonstrater. Dabei erstellt ein angreifer ein nees «numéro» dans le référentiel einem Öffentlichen – infime inklusive rapide. Unternehmen, die KI-Agenten einsetzen, um beispielsweise alle offenen Probleme in diesem Repository zu überprüfen, tappen dann in die Falle: Der Agent verarbeitet den bösartigen Prompt – beispielsweise eine Anweisung, sämtliche privaten Daten in einem anderen, privaten Github-Repository Zu Sammeln, Auf das er über Denselben MCP-Server Zugriff Hat. Der GitHub-Server Selbst Wird Dabei Nicht KOMPROMITTTIERERt. Er DIENT LEDIGLICH ALS KANAL, UM DEN ANGRIFF Auszuführen.
Ein Gegenmittel Wäre ES, Sämtliche Tool-Aufrufe Durch Den Menschlichen Benutzer Bestätigen Zu Lassen. Allerdings Sieht die Praxis dans Vielen Fällen Ganz Anders Aus, Wie Die Invariant-Forscher dans Ihrem Blogbeitrag Schreiben: «Viele User Sind Mit Blick auf Ki-Agenten Bereits Auf eine‚ Alway
5. Token-Diebstahl
Werden oauth-token unverschlüsselt dans den konfigurations- oder code-dateien des mcp-servers gespeichert, können sie gestohlen werden. Dazu Könnten Angreifer Etwa Eine Backdoor, Social Engineering Und Andere Methodin Nutzen. Fallen Die Authentifilizierungs-Token Angreifern dans Die Hände, Können Diese Damit Eigene McP-Serverinstanzen Erstellen, Wie Aus Einem Blogbeitrag von Pillar Security Hervorgeht.
«IM Gegensatz Zu Herkömmlichen Kontoübernahmen Kann Die Verwendung Eines Gestohlenen Token über McP wie ein Legitimer api-Zugriff erscheinen – était die Erkennung erschwert», Warnen Die Sicherheitsexperten. Geht es dabei beispsielsweise um ein gmail-konto, könnten cyberkriminelle auf diese art und weise auf den gesamten e-mail-Verlauf zugreifen, vermeintlich légitime e-mails Zukünftige Kommunikation Zu überwachen.
6. Chaîne de composibilité
MCP-Server von Drittanbietern Unggeprüft Einzusetzen, ist wie bereits erwähnt keine gute idee. Die Müssen Dabei Nicht Underingt Selbst Manipulilert Sein, Sondern Senden Unter Umständen Anfragen An Einen Zweiten Remote-Server. Diesen MCP-Angriffsvektor Bezeichnen Die Experten von cyberark als «Chaîne de composibilité».
Dieser Zweite MCP-Server Könte auf Den ersten Blick Legitime sort Liefern, Die Allerdings Mit Versteckten, Bösartigen, invite «Gespickt» Sind. Diese Kombiniert der Erste MCP-Server MIT Seinen Eigenen Sortie und Leitet ALES Zusammen An Den Ki-Agenten Weiter – der Die Anweisungen Dann Ausführt. Sind Sensible Daten dans Den Umgebungsvariabblen Enthalten, Können Diese Mit Hilfe Dieser Methode Exfiltrier Werden, obwohl nie eine direkte Verbindung Zum Remote-Server Bestanden Hat.
7. Fatigue de l’utilisateur
Auch Unternehmen, die alle aktionen von ki-agenten durch menschliche experten Genehmigen lassen, Sind Nicht auf der Sicheren Seite. So Legt Etwa Palo Alto Networks in Einem Blogbeitrag Nahe, Dass Bösartige MCP-Server Ki-Agenten (und die Menschlichen Kontrolleure) MIT harlosen anfragen überfluten könnten – Etwa für lesebechtiggen. Nimmt das überhand, Könte es dazu führen, dass die benutzer die anfragen ab einem gewissen punkt einfach genehmigen, ohne genau hinzusehen – und der zeitpunkt für einen bösartigen prompt (décembre
«Die Kernidee dieses angriffs ähnnelt der hinter mfa-fatigue-Angriffen. Die User werden dabei durch konnuierliche authentifilifizierungsaufforderungen überfordert, mit dem ziel unbefugten intäten zugriff zu gewähren», erklärten die palo-forscher.
8. Bypass d’administration
Bei diesem angriffsvektor Werden Gezielt MCP-Server Ausgeutzt, die donc Konfigurirert Sind, Dass Sie Keine Identitätsprüfung Verlangen. Das Könte Beispielsweise der Fall Sein, Wenn Ein Unternehmen Einen McP-Server Einrichtet, über den ki-agenten für Benutzer Schnell und einfach Informationen Abfragen Sollen.
Hat der User dabei lediglich Low-Level-Zugriff auf die Informationen und der McP-Server überprüft Dessen Identität Nicht, Kann der Ki-Agent Mehr Informationen Abrufen, als der Benutzer Sehen Sollte. Steht der Bettreffende MCP-server auch externe Benutzern Wie GeschäftSpartnern, Kunden Oder Sogar der Öffentlichkeit Zur Verfügung, Könte Diese Privilege Escalade Noch Zu weit Größerem schaden führen.
9. Injection de commande
Leitet ein mcp-server-interrupteur ohne Ordnungsgemäße validitierung direkt an Andere systeme weiter, können benutzer eigene befehle einschleusen – auf ähnliche ard wie wie bei sql-injection-atmacken. Böswillige Angreifer Könnten Das Beispielsweise Nutzen, Um Alle von Einem MCP-Server FreigegeBenen Tools auf Schwachstellen für Command Injection Testen.
Wie Bei Anderen Arten von injection-Attacken Sollten MCP-Server So Konfiguririet Sein, Dass Sie Benutzeingaben Niemals Direkt an Shell-Befehle Weiterleiten. Stattdessen Empfiehlt es sich, saisit Ordnungsgemäß zu validière und parametrisierte befehle zu verwenden.
10. L’observation des outils
Kann Ein Ki-Agent auf Mehrere MCP-Server Zugreifen, Könte Einer Dieser Server Den Agentten Dazu Verleiten, Einen Anderen Server Unastremessen Zu Verwenden.
Ein fiktives beispiel aus dem healthcare-bereich: ein unternehmen bereibt zwei mcp-server. Der eine stammt von einem drittanbieter und stellt allgemeine informationen zu medizinischen symptomène bereit, der Andere abrechnungsinformationen von patient. Während der Server für das abrechnungssystem Sicher ist und wie vorgesehen funktionierirt, wirkt der andere server nur so – ist aber bösartig unst weist den ki-agenteten imtergrund an, aberchnungsinformationen preiszugeben, beispelsweise, in emichnungsinformations par courriel vers le courriel. (FM)
SIE WOLLEN WEITERE INTERRESSANTE Beiträge Rund Um Das Thea It-Sicherheit lesen? Newsletter Unser Kostenloser Liefert Ihnen alles, était Sicherheisentscheider und-experten wissen sollten, direkt dans la boîte de réception.
