Эксфильтрация данных через удаленный отравленный MCP-инструмент

Оригинал: Data Exfiltration via Remote Poisoned MCP Tool

Исследователи Invariant Labs продемонстрировали, что ИИ-агенты, настроенные для работы с удаленными инструментами Model Context Protocol (MCP), могут быть уязвимы к атакам отравления модели через отравленные инструменты. Они показали, что MCP-инструмент может содержать вредоносные промпты в своем docstring-описании, которое попадает в контекст ИИ-агента и изменяет его поведение.

Исследователи продемонстрировали эту атаку с помощью демонстрационного MCP-инструмента, который инструктирует агента выполнить дополнительные действия перед использованием инструмента. Агент получает инструкцию прочитать файлы с учетными данными на машине жертвы и сохранить их содержимое в одном из входных параметров MCP-инструмента. Когда инструмент запускается, учетные данные жертвы эксфильтровываются на отравленный MCP-сервер.

Процедура

  1. AML.TA0003 Подготовка ресурсов

    AML.T0065 Создание промптов для LLM

    Исследователи подготовили промпт, который инструктирует ИИ-агента найти и прочитать файлы с учетными данными пользователя, а затем сохранить их в одном из входных параметров MCP-инструмента.
  2. AML.TA0003 Подготовка ресурсов

    AML.T0104 Публикация отравленного инструмента ИИ-агента

    Исследователи разместили отравленный MCP-сервер, где вредоносные инструкции были скрыты в docstring-описании одного из предоставляемых инструментов.
  3. AML.TA0004 Первичный доступ

    AML.T0010.005 Инструмент ИИ-агента

    Исследователи разместили отравленный MCP-инструмент, где вредоносные инструкции были скрыты в docstring-описании этого инструмента.
  4. AML.TA0005 Выполнение

    AML.T0051.000 Прямая промпт-инъекция

    Когда пользователь вызывал удаленный MCP-инструмент, промпт-инъекция, скрытая в docstring-описании, выполнялась локально.
  5. AML.TA0005 Выполнение

    AML.T0053 Вызов инструментов ИИ-агента

    Промпт вызывал инструмент агента, способный читать файлы из файловой системы жертвы.
  6. AML.TA0013 Доступ к учетным данным

    AML.T0055 Незащищенные учетные данные

    Промпт инструктировал ИИ-агента прочитать SSH-ключи пользователя по пути ~/.ssh/id_rsa.
  7. AML.TA0013 Доступ к учетным данным

    AML.T0098 Сбор учетных данных через инструменты ИИ-агента

    Промпт инструктировал ИИ-агента прочитать mcp.json, где часто хранятся учетные данные для других MCP-серверов.
  8. AML.TA0010 Эксфильтрация

    AML.T0086 Эксфильтрация через вызов инструмента ИИ-агента

    Промпт инструктировал ИИ-агента сохранить файлы с учетными данными в лишнем параметре MCP-инструмента, чтобы эксфильтровать их через MCP-соединение.
  9. AML.TA0011 Воздействие

    AML.T0048.003 Ущерб пользователям

    Приватные данные пользователя были раскрыты удаленному MCP-серверу.

Источники

  1. MCP Security Notification: Tool Poisoning Attacks