MCP Veiligheidsaudit: LLM's met het Model Context Protocol staan grote beveiligingskwetsbaarheden toe
MCP Safety Audit: LLMs with the Model Context Protocol Allow Major Security Exploits
April 2, 2025
Auteurs: Brandon Radosevich, John Halloran
cs.AI
Samenvatting
Om ontwikkelingskosten te verlagen en naadloze integratie tussen potentiële componenten van een generatieve AI-toepassing mogelijk te maken, is het Model Context Protocol (MCP) (Anthropic, 2024) recentelijk vrijgegeven en vervolgens breed geadopteerd. Het MCP is een open protocol dat API-aanroepen naar grote taalmodellen (LLM's), gegevensbronnen en agentische tools standaardiseert. Door meerdere MCP-servers met elkaar te verbinden, elk gedefinieerd met een set tools, bronnen en prompts, kunnen gebruikers geautomatiseerde workflows definiëren die volledig worden aangedreven door LLM's. Wij tonen echter aan dat het huidige MCP-ontwerp een breed scala aan beveiligingsrisico's met zich meebrengt voor eindgebruikers. In het bijzonder demonstreren we dat toonaangevende LLM's in de industrie kunnen worden gedwongen om MCP-tools te gebruiken om het systeem van een AI-ontwikkelaar te compromitteren via verschillende aanvallen, zoals het uitvoeren van kwaadaardige code, externe toegangscontrole en diefstal van inloggegevens. Om deze en gerelateerde aanvallen proactief te mitigeren, introduceren we een veiligheidsaudittool, MCPSafetyScanner, de eerste agentische tool om de beveiliging van een willekeurige MCP-server te beoordelen. MCPScanner gebruikt verschillende agents om (a) automatisch adversariële voorbeelden te bepalen op basis van de tools en bronnen van een MCP-server; (b) gerelateerde kwetsbaarheden en oplossingen te zoeken op basis van die voorbeelden; en (c) een beveiligingsrapport te genereren met alle bevindingen. Ons werk belicht ernstige beveiligingsproblemen met algemene agentische workflows, terwijl het ook een proactieve tool biedt om de veiligheid van MCP-servers te auditen en gedetecteerde kwetsbaarheden aan te pakken vóór implementatie. De beschreven MCP-serveraudittool, MCPSafetyScanner, is vrij beschikbaar op: https://github.com/johnhalloran321/mcpSafetyScanner.
English
To reduce development overhead and enable seamless integration between
potential components comprising any given generative AI application, the Model
Context Protocol (MCP) (Anthropic, 2024) has recently been released and
subsequently widely adopted. The MCP is an open protocol that standardizes API
calls to large language models (LLMs), data sources, and agentic tools. By
connecting multiple MCP servers, each defined with a set of tools, resources,
and prompts, users are able to define automated workflows fully driven by LLMs.
However, we show that the current MCP design carries a wide range of security
risks for end users. In particular, we demonstrate that industry-leading LLMs
may be coerced into using MCP tools to compromise an AI developer's system
through various attacks, such as malicious code execution, remote access
control, and credential theft. To proactively mitigate these and related
attacks, we introduce a safety auditing tool, MCPSafetyScanner, the first
agentic tool to assess the security of an arbitrary MCP server. MCPScanner uses
several agents to (a) automatically determine adversarial samples given an MCP
server's tools and resources; (b) search for related vulnerabilities and
remediations based on those samples; and (c) generate a security report
detailing all findings. Our work highlights serious security issues with
general-purpose agentic workflows while also providing a proactive tool to
audit MCP server safety and address detected vulnerabilities before deployment.
The described MCP server auditing tool, MCPSafetyScanner, is freely available
at: https://github.com/johnhalloran321/mcpSafetyScanner