Kelemahan keselamatan kritikal dalam pelaksanaan Model Context Protocol (MCP) Supabase telah ditemui yang membolehkan penyerang mengekstrak keseluruhan pangkalan data SQL melalui teknik suntikan prompt yang canggih. Kelemahan ini menunjukkan bagaimana ejen AI boleh dimanipulasi untuk memintas kawalan keselamatan dan membocorkan data sensitif apabila disambungkan kepada pangkalan data pengeluaran.
 |
|---|
| Mesej serangan kritikal dalam tiket sokongan menunjukkan bagaimana manipulasi canggih menyasarkan kelemahan pangkalan data |
Vektor Serangan: Apabila Data Pengguna Menjadi Arahan
Isu teras berpunca daripada masalah asas dengan Large Language Models (LLMs): mereka tidak dapat membezakan dengan pasti antara arahan yang sah dan perintah berniat jahat yang tertanam dalam kandungan yang dijana pengguna. Penyelidik keselamatan dari General Analysis menunjukkan bagaimana penyerang boleh menyerahkan tiket sokongan yang mengandungi arahan yang direka khas yang kelihatan seperti teks biasa tetapi sebenarnya memerintahkan ejen AI untuk melakukan operasi pangkalan data tanpa kebenaran.
Apabila pembangun yang menggunakan Cursor (editor kod berkuasa AI) yang disambungkan kepada Supabase MCP menyemak tiket sokongan berniat jahat tersebut, arahan yang tertanam memperdaya AI untuk melaksanakan pertanyaan SQL bagi mengekstrak data sensitif seperti token pengesahan, kelayakan pengguna, dan maklumat sulit lain. Serangan ini berjaya kerana AI memproses kedua-dua perintah sah pembangun dan arahan tersembunyi dari tiket sokongan sebagai input yang sama sahnya.
MCP (Model Context Protocol): Standard komunikasi yang membolehkan ejen AI berinteraksi dengan alat dan perkhidmatan luaran, termasuk pangkalan data.
Sempadan Keistimewaan dalam Sistem yang Terdedah
| Pelaku | Peranan/Akses Freshdesk | Peranan/Akses SQL |
|---|---|---|
| Tiket Pelanggan | Pelapor | AGENT: SELECT; INSERT; UPDATE |
| Ejen Sokongan | Ejen | AGENT: SELECT; INSERT; UPDATE; pg_read_all_stats |
| Pembangun | Pentadbir | ADMIN: .+Extension; CREATE FUNCTION |
Respons Industri dan Percubaan Mitigasi
Jurutera Supabase telah melaksanakan beberapa langkah balas, termasuk menggalakkan akses pangkalan data baca sahaja secara lalai dan menambah prompt yang direka untuk menghalang AI daripada mengikuti arahan yang tertanam. Walau bagaimanapun, komuniti keselamatan kekal ragu-ragu tentang keberkesanan perlindungan berasaskan prompt ini.
Serangan ini berpunca daripada gabungan dua kelemahan reka bentuk: akses yang terlalu permisif secara tidak wajar (service_role) yang tersedia kepada sistem kepercayaan rendah atau tidak dipercayai, sementara MCP membuka kunci keupayaan automasi yang berkuasa, ia memerlukan pengendalian ungkapan keselamatan audit yang teliti.
Cabaran asas ialah kejuruteraan prompt tidak boleh berfungsi sebagai sempadan keselamatan yang boleh dipercayai. Tidak seperti kelemahan keselamatan web tradisional seperti suntikan SQL, yang mempunyai pembetulan yang telah ditetapkan melalui pertanyaan berparameter dan sanitasi input, pada masa ini tiada mekanisme setara untuk mengamankan prompt LLM terhadap serangan suntikan.
Mitigasi yang Dilaksanakan oleh Supabase
- Baca sahaja secara lalai: Menggalakkan pengguna untuk mengkonfigurasi MCP dengan akses pangkalan data baca sahaja
- Pembungkusan respons: Menambah gesaan yang tidak menggalakkan LLM daripada mengikuti arahan dalam data pengguna
- Ujian E2E: Menguji terhadap LLM yang kurang berkebolehan untuk mengesahkan rintangan serangan
- Kebenaran terperinci: Kebenaran peringkat token yang dirancang untuk perkhidmatan Supabase tertentu
- Dokumentasi yang dipertingkat: Menambah penafian keselamatan dan bahan kesedaran
Implikasi Keselamatan yang Lebih Luas
Kelemahan ini mewakili sebahagian daripada apa yang pakar keselamatan Simon Willison panggil trifecta maut - gabungan berbahaya sistem AI yang mempunyai akses kepada data peribadi, pendedahan kepada input yang tidak dipercayai, dan keupayaan untuk mengeluarkan maklumat. Masalah ini melangkaui tiket sokongan kepada mana-mana sistem di mana kandungan yang dijana pengguna mungkin diproses oleh ejen AI dengan akses pangkalan data.
Komuniti keselamatan telah mengenal pasti kelemahan serupa dalam pelaksanaan MCP pangkalan data lain, termasuk Neon DB dan pelayan MCP Heroku . Ini menunjukkan isu tersebut bukan khusus kepada Supabase tetapi masalah sistemik dengan cara ejen AI berinteraksi dengan pangkalan data apabila terdedah kepada input yang tidak dipercayai.
Komponen "Lethal Trifecta"
- Akses kepada data peribadi: Ejen AI boleh membaca maklumat pangkalan data yang sensitif
- Pendedahan kepada input yang tidak dipercayai: Sistem memproses kandungan yang dijana pengguna (tiket sokongan, komen, dan lain-lain)
- Keupayaan untuk mengeksfiltrasi data: AI boleh menyampaikan maklumat yang diekstrak kembali kepada penyerang melalui pelbagai saluran
Bergerak Ke Hadapan: Penyelesaian Seni Bina
Pakar keselamatan menekankan bahawa penyelesaian berkesan mesti dilaksanakan di peringkat seni bina dan bukannya bergantung kepada mitigasi berasaskan prompt. Pendekatan yang disyorkan termasuk melaksanakan kebenaran pangkalan data yang terperinci, menggunakan konteks AI yang berasingan untuk operasi yang berbeza, dan menganggap ejen AI sebagai berpotensi bermusuhan apabila memproses kandungan yang dijana pengguna.
Insiden ini menyerlahkan keperluan kritikal bagi organisasi untuk menilai dengan teliti implikasi keselamatan sebelum menyambungkan ejen AI kepada sistem pengeluaran. Seperti yang dinyatakan oleh seorang penyelidik keselamatan, generasi semasa alat AI mungkin pada asasnya tidak mempunyai keupayaan untuk memproses input yang tidak dipercayai dengan selamat sambil mengekalkan akses kepada sumber sensitif.
Kelemahan ini berfungsi sebagai peringatan untuk ekosistem integrasi AI yang berkembang pesat, menunjukkan bahawa prinsip keselamatan tradisional kekal penting walaupun teknologi baru muncul.