Эксфильтрация данных через удаленный отравленный MCP-инструмент
Оригинал: Data Exfiltration via Remote Poisoned MCP Tool
Исследователи Invariant Labs продемонстрировали, что ИИ-агенты, настроенные для работы с удаленными инструментами Model Context Protocol (MCP), могут быть уязвимы к атакам отравления модели через отравленные инструменты. Они показали, что MCP-инструмент может содержать вредоносные промпты в своем docstring-описании, которое попадает в контекст ИИ-агента и изменяет его поведение.
Исследователи продемонстрировали эту атаку с помощью демонстрационного MCP-инструмента, который инструктирует агента выполнить дополнительные действия перед использованием инструмента. Агент получает инструкцию прочитать файлы с учетными данными на машине жертвы и сохранить их содержимое в одном из входных параметров MCP-инструмента. Когда инструмент запускается, учетные данные жертвы эксфильтровываются на отравленный MCP-сервер.
Процедура
- AML.TA0003 Подготовка ресурсов
AML.T0065 Создание промптов для LLM
Исследователи подготовили промпт, который инструктирует ИИ-агента найти и прочитать файлы с учетными данными пользователя, а затем сохранить их в одном из входных параметров MCP-инструмента. - AML.TA0003 Подготовка ресурсов
AML.T0104 Публикация отравленного инструмента ИИ-агента
Исследователи разместили отравленный MCP-сервер, где вредоносные инструкции были скрыты в docstring-описании одного из предоставляемых инструментов. - AML.TA0004 Первичный доступ
AML.T0010.005 Инструмент ИИ-агента
Исследователи разместили отравленный MCP-инструмент, где вредоносные инструкции были скрыты в docstring-описании этого инструмента. - AML.TA0005 Выполнение
AML.T0051.000 Прямая промпт-инъекция
Когда пользователь вызывал удаленный MCP-инструмент, промпт-инъекция, скрытая в docstring-описании, выполнялась локально. - AML.TA0005 Выполнение
AML.T0053 Вызов инструментов ИИ-агента
Промпт вызывал инструмент агента, способный читать файлы из файловой системы жертвы. - AML.TA0013 Доступ к учетным данным
AML.T0055 Незащищенные учетные данные
Промпт инструктировал ИИ-агента прочитать SSH-ключи пользователя по пути~/.ssh/id_rsa. - AML.TA0013 Доступ к учетным данным
AML.T0098 Сбор учетных данных через инструменты ИИ-агента
Промпт инструктировал ИИ-агента прочитатьmcp.json, где часто хранятся учетные данные для других MCP-серверов. - AML.TA0010 Эксфильтрация
AML.T0086 Эксфильтрация через вызов инструмента ИИ-агента
Промпт инструктировал ИИ-агента сохранить файлы с учетными данными в лишнем параметре MCP-инструмента, чтобы эксфильтровать их через MCP-соединение. - AML.TA0011 Воздействие
AML.T0048.003 Ущерб пользователям
Приватные данные пользователя были раскрыты удаленному MCP-серверу.