Audit de sécurité MCP : Les modèles de langage utilisant le protocole de contexte de modèle permettent des exploits de sécurité majeurs
MCP Safety Audit: LLMs with the Model Context Protocol Allow Major Security Exploits
April 2, 2025
Auteurs: Brandon Radosevich, John Halloran
cs.AI
Résumé
Pour réduire les coûts de développement et permettre une intégration transparente entre les composants potentiels constituant une application d'IA générative, le Protocole de Contexte de Modèle (Model Context Protocol, MCP) (Anthropic, 2024) a récemment été publié et largement adopté. Le MCP est un protocole ouvert qui standardise les appels d'API aux grands modèles de langage (LLMs), aux sources de données et aux outils agentiques. En connectant plusieurs serveurs MCP, chacun défini avec un ensemble d'outils, de ressources et d'invites, les utilisateurs peuvent définir des workflows automatisés entièrement pilotés par des LLMs. Cependant, nous montrons que la conception actuelle du MCP présente un large éventail de risques de sécurité pour les utilisateurs finaux. En particulier, nous démontrons que les LLM leaders du secteur peuvent être contraints d'utiliser les outils MCP pour compromettre le système d'un développeur d'IA via diverses attaques, telles que l'exécution de code malveillant, le contrôle d'accès à distance et le vol d'identifiants. Pour atténuer de manière proactive ces attaques et d'autres similaires, nous introduisons un outil d'audit de sécurité, MCPSafetyScanner, le premier outil agentique permettant d'évaluer la sécurité d'un serveur MCP arbitraire. MCPScanner utilise plusieurs agents pour (a) déterminer automatiquement des échantillons adverses en fonction des outils et ressources d'un serveur MCP ; (b) rechercher les vulnérabilités et les correctifs associés à ces échantillons ; et (c) générer un rapport de sécurité détaillant toutes les découvertes. Notre travail met en lumière des problèmes de sécurité graves liés aux workflows agentiques à usage général, tout en fournissant un outil proactif pour auditer la sécurité des serveurs MCP et traiter les vulnérabilités détectées avant le déploiement. L'outil d'audit de serveur MCP décrit, MCPSafetyScanner, est librement disponible à l'adresse suivante : https://github.com/johnhalloran321/mcpSafetyScanner
English
To reduce development overhead and enable seamless integration between
potential components comprising any given generative AI application, the Model
Context Protocol (MCP) (Anthropic, 2024) has recently been released and
subsequently widely adopted. The MCP is an open protocol that standardizes API
calls to large language models (LLMs), data sources, and agentic tools. By
connecting multiple MCP servers, each defined with a set of tools, resources,
and prompts, users are able to define automated workflows fully driven by LLMs.
However, we show that the current MCP design carries a wide range of security
risks for end users. In particular, we demonstrate that industry-leading LLMs
may be coerced into using MCP tools to compromise an AI developer's system
through various attacks, such as malicious code execution, remote access
control, and credential theft. To proactively mitigate these and related
attacks, we introduce a safety auditing tool, MCPSafetyScanner, the first
agentic tool to assess the security of an arbitrary MCP server. MCPScanner uses
several agents to (a) automatically determine adversarial samples given an MCP
server's tools and resources; (b) search for related vulnerabilities and
remediations based on those samples; and (c) generate a security report
detailing all findings. Our work highlights serious security issues with
general-purpose agentic workflows while also providing a proactive tool to
audit MCP server safety and address detected vulnerabilities before deployment.
The described MCP server auditing tool, MCPSafetyScanner, is freely available
at: https://github.com/johnhalloran321/mcpSafetyScanner