Аудит безопасности MCP: языковые модели с использованием Протокола контекста модели допускают серьезные уязвимости в безопасности
MCP Safety Audit: LLMs with the Model Context Protocol Allow Major Security Exploits
April 2, 2025
Авторы: Brandon Radosevich, John Halloran
cs.AI
Аннотация
Для снижения затрат на разработку и обеспечения беспрепятственной интеграции между потенциальными компонентами, составляющими любое приложение генеративного ИИ, недавно был выпущен и получил широкое распространение Протокол контекста модели (Model Context Protocol, MCP) (Anthropic, 2024). MCP представляет собой открытый протокол, стандартизирующий API-вызовы к крупным языковым моделям (LLM), источникам данных и инструментам агентного типа. Подключая несколько серверов MCP, каждый из которых определен с набором инструментов, ресурсов и промптов, пользователи могут создавать автоматизированные рабочие процессы, полностью управляемые LLM. Однако мы показываем, что текущая конструкция MCP несет в себе широкий спектр рисков для безопасности конечных пользователей. В частности, мы демонстрируем, что ведущие в отрасли LLM могут быть вынуждены использовать инструменты MCP для компрометации системы разработчика ИИ с помощью различных атак, таких как выполнение вредоносного кода, удаленное управление доступом и кража учетных данных. Для упреждающего устранения этих и связанных с ними атак мы представляем инструмент аудита безопасности MCPSafetyScanner — первый агентный инструмент для оценки безопасности произвольного сервера MCP. MCPScanner использует несколько агентов для (а) автоматического определения вредоносных образцов с учетом инструментов и ресурсов сервера MCP; (б) поиска связанных уязвимостей и способов их устранения на основе этих образцов; и (в) генерации отчета о безопасности, детализирующего все обнаруженные проблемы. Наша работа подчеркивает серьезные проблемы безопасности, связанные с универсальными агентными рабочими процессами, а также предоставляет упреждающий инструмент для аудита безопасности серверов MCP и устранения обнаруженных уязвимостей перед развертыванием. Описанный инструмент аудита серверов MCP, MCPSafetyScanner, доступен бесплатно по адресу: https://github.com/johnhalloran321/mcpSafetyScanner.
English
To reduce development overhead and enable seamless integration between
potential components comprising any given generative AI application, the Model
Context Protocol (MCP) (Anthropic, 2024) has recently been released and
subsequently widely adopted. The MCP is an open protocol that standardizes API
calls to large language models (LLMs), data sources, and agentic tools. By
connecting multiple MCP servers, each defined with a set of tools, resources,
and prompts, users are able to define automated workflows fully driven by LLMs.
However, we show that the current MCP design carries a wide range of security
risks for end users. In particular, we demonstrate that industry-leading LLMs
may be coerced into using MCP tools to compromise an AI developer's system
through various attacks, such as malicious code execution, remote access
control, and credential theft. To proactively mitigate these and related
attacks, we introduce a safety auditing tool, MCPSafetyScanner, the first
agentic tool to assess the security of an arbitrary MCP server. MCPScanner uses
several agents to (a) automatically determine adversarial samples given an MCP
server's tools and resources; (b) search for related vulnerabilities and
remediations based on those samples; and (c) generate a security report
detailing all findings. Our work highlights serious security issues with
general-purpose agentic workflows while also providing a proactive tool to
audit MCP server safety and address detected vulnerabilities before deployment.
The described MCP server auditing tool, MCPSafetyScanner, is freely available
at: https://github.com/johnhalloran321/mcpSafetyScannerSummary
AI-Generated Summary