Атаки на MCP
Что такое Атаки на MCP?
Атаки на MCPАтаки, использующие протокол Model Context Protocol (MCP) для внедрения подсказок, злоупотребления инструментами или перехода через серверы, которым доверяет ИИ-ассистент.
Атаки на MCP направлены против Model Context Protocol — открытого стандарта, предложенного Anthropic, который позволяет ИИ-ассистентам через единый интерфейс подключаться к внешним инструментам, источникам данных и приложениям. Поскольку MCP-сервер может предоставлять модели инструменты, ресурсы и подсказки, скомпрометированный или вредоносный сервер способен внедрять скрытые инструкции, вытягивать данные пользователя, инициировать опасные вызовы инструментов или подменять ранее одобренные определения инструментов (так называемый rug pull). Среди смежных техник — отравление описаний инструментов, межсерверные атаки типа confused deputy и prompt injection через возвращаемые документы. Меры защиты включают подписанные и закреплённые идентификаторы серверов, ограниченные права, явное согласие на каждый вызов и изоляцию процессов MCP.
● Примеры
- 01
Вредоносный MCP-сервер изменяет описание ранее одобренного инструмента, чтобы последующие вызовы тайно вытягивали почту пользователя.
- 02
Документ, возвращённый MCP-сервером, содержит скрытые инструкции, заставляющие ассистента отправить API-ключи пользователя на вебхук атакующего.
● Частые вопросы
Что такое Атаки на MCP?
Атаки, использующие протокол Model Context Protocol (MCP) для внедрения подсказок, злоупотребления инструментами или перехода через серверы, которым доверяет ИИ-ассистент. Относится к категории Безопасность ИИ и ML в кибербезопасности.
Что означает Атаки на MCP?
Атаки, использующие протокол Model Context Protocol (MCP) для внедрения подсказок, злоупотребления инструментами или перехода через серверы, которым доверяет ИИ-ассистент.
Как работает Атаки на MCP?
Атаки на MCP направлены против Model Context Protocol — открытого стандарта, предложенного Anthropic, который позволяет ИИ-ассистентам через единый интерфейс подключаться к внешним инструментам, источникам данных и приложениям. Поскольку MCP-сервер может предоставлять модели инструменты, ресурсы и подсказки, скомпрометированный или вредоносный сервер способен внедрять скрытые инструкции, вытягивать данные пользователя, инициировать опасные вызовы инструментов или подменять ранее одобренные определения инструментов (так называемый rug pull). Среди смежных техник — отравление описаний инструментов, межсерверные атаки типа confused deputy и prompt injection через возвращаемые документы. Меры защиты включают подписанные и закреплённые идентификаторы серверов, ограниченные права, явное согласие на каждый вызов и изоляцию процессов MCP.
Как защититься от Атаки на MCP?
Защита от Атаки на MCP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атаки на MCP?
Распространённые альтернативные названия: Атака на Model Context Protocol, Инъекция в инструменты MCP.
● Связанные термины
- ai-security№ 866
Промпт-инъекция
Атака, при которой во входной запрос LLM встраивается враждебный текст, переопределяющий исходные инструкции и заставляющий модель игнорировать ограничения или выполнять действия злоумышленника.
- ai-security№ 528
Косвенная промпт-инъекция
Разновидность промпт-инъекции, при которой вредоносные инструкции скрыты в стороннем контенте (веб-страницы, документы, письма), который LLM затем получает через поиск, браузер или вызовы инструментов.
- ai-security№ 619
Утечка системного промпта LLM
Атака, извлекающая скрытый системный промпт или инструкции развёрнутого приложения на большой языковой модели и раскрывающая его логику, секреты и инструменты.