MCP-Sicherheitsaudit: LLMs mit dem Model Context Protocol ermöglichen schwerwiegende Sicherheitslücken
MCP Safety Audit: LLMs with the Model Context Protocol Allow Major Security Exploits
April 2, 2025
Autoren: Brandon Radosevich, John Halloran
cs.AI
Zusammenfassung
Um den Entwicklungsaufwand zu reduzieren und eine nahtlose Integration zwischen potenziellen Komponenten, die eine generative KI-Anwendung ausmachen, zu ermöglichen, wurde kürzlich das Model Context Protocol (MCP) (Anthropic, 2024) veröffentlicht und anschließend weit verbreitet übernommen. Das MCP ist ein offenes Protokoll, das API-Aufrufe an große Sprachmodelle (LLMs), Datenquellen und agentenbasierte Werkzeuge standardisiert. Durch die Verbindung mehrerer MCP-Server, die jeweils mit einer Reihe von Werkzeugen, Ressourcen und Prompts definiert sind, können Benutzer automatisierte Workflows erstellen, die vollständig von LLMs gesteuert werden. Wir zeigen jedoch, dass das aktuelle MCP-Design eine Vielzahl von Sicherheitsrisiken für Endbenutzer birgt. Insbesondere demonstrieren wir, dass führende LLMs in der Branche dazu verleitet werden können, MCP-Werkzeuge zu nutzen, um das System eines KI-Entwicklers durch verschiedene Angriffe zu kompromittieren, wie z. B. die Ausführung von bösartigem Code, die Fernsteuerung des Zugriffs und den Diebstahl von Zugangsdaten. Um diese und verwandte Angriffe proaktiv zu mindern, stellen wir ein Sicherheitsprüfwerkzeug vor, den MCPSafetyScanner, das erste agentenbasierte Werkzeug zur Bewertung der Sicherheit eines beliebigen MCP-Servers. MCPScanner verwendet mehrere Agenten, um (a) automatisch adversarische Beispiele basierend auf den Werkzeugen und Ressourcen eines MCP-Servers zu bestimmen; (b) verwandte Schwachstellen und Abhilfemaßnahmen basierend auf diesen Beispielen zu suchen; und (c) einen Sicherheitsbericht zu erstellen, der alle Ergebnisse detailliert. Unsere Arbeit beleuchtet ernsthafte Sicherheitsprobleme bei allgemeinen agentenbasierten Workflows und bietet gleichzeitig ein proaktives Werkzeug, um die Sicherheit von MCP-Servern zu prüfen und erkannte Schwachstellen vor der Bereitstellung zu beheben. Der beschriebene MCP-Server-Prüfwerkzeug, MCPSafetyScanner, ist frei verfügbar unter: https://github.com/johnhalloran321/mcpSafetyScanner
English
To reduce development overhead and enable seamless integration between
potential components comprising any given generative AI application, the Model
Context Protocol (MCP) (Anthropic, 2024) has recently been released and
subsequently widely adopted. The MCP is an open protocol that standardizes API
calls to large language models (LLMs), data sources, and agentic tools. By
connecting multiple MCP servers, each defined with a set of tools, resources,
and prompts, users are able to define automated workflows fully driven by LLMs.
However, we show that the current MCP design carries a wide range of security
risks for end users. In particular, we demonstrate that industry-leading LLMs
may be coerced into using MCP tools to compromise an AI developer's system
through various attacks, such as malicious code execution, remote access
control, and credential theft. To proactively mitigate these and related
attacks, we introduce a safety auditing tool, MCPSafetyScanner, the first
agentic tool to assess the security of an arbitrary MCP server. MCPScanner uses
several agents to (a) automatically determine adversarial samples given an MCP
server's tools and resources; (b) search for related vulnerabilities and
remediations based on those samples; and (c) generate a security report
detailing all findings. Our work highlights serious security issues with
general-purpose agentic workflows while also providing a proactive tool to
audit MCP server safety and address detected vulnerabilities before deployment.
The described MCP server auditing tool, MCPSafetyScanner, is freely available
at: https://github.com/johnhalloran321/mcpSafetyScannerSummary
AI-Generated Summary