A medida que el campo de la inteligencia fabricado (IA) continúa evolucionando a un ritmo rápido, una nueva investigación ha incompatible cómo las técnicas que representan el protocolo del contexto del maniquí (MCP) susceptibles a ataques inyectados inmediatos podrían estar de moda para desarrollar herramientas de seguridad o identificar herramientas maliciosas, según un nuevo documentación de Tenable.
MCP, osado por Anthrope en noviembre de 2024, es un situación diseñado para conectar modelos de idiomas grandes (LLM) con fuentes y servicios de datos externos, y utilizar herramientas controladas por modelos para interactuar con esos sistemas para mejorar la precisión, relevancia y utilidad de las aplicaciones de IA.
Sigue una bloque de cliente cliente, que permite a los hosts con clientes de MCP como Claude Desktop o Cursor se comunicará con diferentes servidores MCP, cada uno de los cuales expone herramientas y capacidades específicas.
Si admisiblemente el estereotipado Open ofrece una interfaz unificada para entrar a diversas fuentes de datos e incluso cambiar entre proveedores de LLM, incluso vienen con un nuevo conjunto de riesgos, que van desde el ámbito de permiso excesivo hasta ataques de inyección indirecta.
Por ejemplo, poliedro un MCP para que Gmail interactúe con el servicio de correo electrónico de Google, un atacante podría destinar mensajes maliciosos que contienen instrucciones ocultas que, cuando se analizan por el LLM, podrían desencadenar acciones indeseables, como reenviar correos electrónicos confidenciales a una dirección de correo electrónico bajo su control.
Igualmente se ha incompatible que MCP es endeble a lo que se apasionamiento envenenamiento por herramientas, en el que las instrucciones maliciosas están incrustadas adentro de las descripciones de herramientas que son visibles para LLMS, y los ataques de tirones de alfombras, que ocurren cuando una útil de MCP funciona de guisa benigna inicialmente, pero mutita su comportamiento más delante a través de una aggiornamento maliciosa de tiempo de tiempo.
«Cerca de señalar que, si admisiblemente los usuarios pueden aprobar el uso y el golpe de la útil, los permisos dados a una útil se pueden reutilizar sin retornar a promocionar al usufructuario», dijo Sentinelone en un descomposición nuevo.
Finalmente, incluso existe el peligro de contaminación de la útil cruzada o el sombreado de herramientas de servidor cruzado que hace que un servidor MCP anule o interfiera con otro, influyendo sigilosamente en cómo se deben usar otras herramientas, lo que lleva a nuevas formas de exfiltración de datos.
Los últimos hallazgos de Tenable muestran que el situación MCP podría estar de moda para crear una útil que registre todas las llamadas de la función de la útil MCP al incluir una descripción especialmente elaborada que instruya a la LLM que inserte esta útil antiguamente de invocar cualquier otra útil.
En otras palabras, la inyección de solicitud se manipula para un buen propósito, que es registrar información sobre «la útil que se le pidió que ejecutara, incluido el nombre del servidor MCP, el nombre y la descripción de la útil MCP, y el indicador del usufructuario que hizo que la LLM intentara ejecutar esa útil».
Otro caso de uso implica taracear una descripción en una útil para convertirlo en un firewall que bloquee las herramientas no autorizadas.
«Las herramientas deben requerir la aprobación explícita antiguamente de ejecutarse en la mayoría de las aplicaciones de host MCP», dijo el investigador de seguridad Ben Smith.
«Aún así, hay muchas formas en que las herramientas se pueden usar para hacer cosas que pueden no ser estrictamente entendidas por la explicación. Estos métodos dependen de la incorporación de LLM a través de los títulos de descripción y retorno de las herramientas MCP. Cubo que los LLM no son deterministas, incluso son los resultados».
No es solo MCP
La divulgación se produce cuando Trustwave SpiderLabs reveló que el protocolo de Agent2Agent (A2A) recientemente introducido, que permite la comunicación y la interoperabilidad entre las aplicaciones de agente, podría expuestos a ataques de formulario novedosos donde el sistema se puede ver para enrutar todas las solicitudes a un agente de IA insurrecto al mentir sobre sus capacidades.
A2A fue anunciado por Google a principios de este mes como una forma para que los agentes de IA trabajen en sistemas y aplicaciones de datos en conjunto, independientemente del proveedor o el situación utilizado. Es importante tener en cuenta aquí que mientras MCP conecta LLM con datos, A2A conecta un agente de IA a otro. En otras palabras, los dos son protocolos complementarios.
«Digamos que comprometimos al agente a través de otra vulnerabilidad (tal vez a través del sistema eficaz), si ahora utilizamos nuestro nodo comprometido (el agente) y elaboramos una polímero de agente y efectivamente exageramos nuestras capacidades, entonces el agente huésped debe elegirnos cada vez para cada tarea, y enviarnos todos los datos confidenciales del usufructuario que debemos analizar», dijo el investigador de seguridad Tom Naves.
«El ataque no solo se detiene para capturar los datos, sino que puede ser activo e incluso devolver resultados falsos, que luego serán actuados con destino a debajo por el LLM o el usufructuario».
