Penyelidik keselamatan telah menemui kelemahan yang ketara dalam pelaksanaan Model Context Protocol ( MCP ) milik Anthropic , menimbulkan kebimbangan mengenai penggunaan pesat piawaian integrasi alat AI ini. Penemuan ini menyerlahkan corak pengabaian keselamatan yang boleh mendedahkan organisasi kepada pencerobohan data dan kompromi sistem.
MCP berfungsi sebagai lapisan komunikasi piawai antara model AI dan alat luaran, sama seperti cara REST API berfungsi untuk perkhidmatan web. Walau bagaimanapun, garis masa pelaksanaan protokol yang pantas telah membawa kepada jurang keselamatan yang meluas yang mencerminkan kesilapan penggunaan teknologi bersejarah.
Serangan Suntikan Penerangan Alat Menimbulkan Risiko Segera
Kelemahan yang paling membimbangkan melibatkan suntikan penerangan alat, di mana pelakon berniat jahat boleh membenamkan arahan berbahaya secara langsung ke dalam penerangan bahasa semula jadi yang dibaca oleh model AI untuk memahami alat yang tersedia. Tidak seperti serangan suntikan gesaan tradisional yang memerlukan input pengguna, kelemahan ini wujud dalam protokol itu sendiri. Apabila sistem AI memproses penerangan ini, mereka mungkin tanpa sedar mengikuti arahan berniat jahat sambil kelihatan melaksanakan tugas yang sah.
Perbincangan komuniti mendedahkan vektor serangan ini amat berbahaya kerana pengguna biasanya tidak pernah melihat penerangan alat. Mereka memerhati mesej status biasa seperti memeriksa cuaca... sementara sistem AI melaksanakan arahan yang berbeza sepenuhnya di latar belakang. Ujian terhadap pelaksanaan MCP yang popular menunjukkan bahawa kebanyakannya tidak cuba membersihkan penerangan ini, menjadikannya terdedah kepada eksploitasi.
Keputusan Ujian Kelemahan:
- Suntikan penerangan alat berjaya: 2/4 pelaksanaan MCP yang diuji
- Titik akhir tanpa pengesahan ditemui: 1/10 penggunaan produksi
- Alat dengan kebenaran berlebihan dikenal pasti: Pelbagai kejadian merentasi repositori
Jurang Pengesahan Meninggalkan Sistem Terdedah
Landskap pengesahan untuk pelaksanaan MCP kelihatan kurang berkembang dengan teruk. Banyak penggunaan pengeluaran sama ada melangkau pengesahan sepenuhnya atau bergantung pada pengesahan kunci API asas yang boleh dipintas dengan mudah. Komuniti telah menyatakan bahawa walaupun spesifikasi MCP yang lebih baru termasuk keperluan OAuth , pelaksanaan sedia ada lambat untuk menggunakan langkah keselamatan ini.
Satu corak yang amat menyusahkan melibatkan pelayan yang mengesahkan kelayakan hanya untuk jenis permintaan tertentu sambil meninggalkan yang lain terbuka sepenuhnya. Pendekatan yang tidak konsisten ini mewujudkan titik buta keselamatan yang boleh dieksploitasi oleh penyerang untuk mendapat akses tanpa kebenaran kepada sistem berkuasa AI .
Cadangan Keselamatan Utama:
- Laksanakan corak OAuth Resource Server seperti yang dinyatakan dalam MCP 2025-06-18
- Gunakan Resource Indicators ( RFC 8707 ) untuk mencegah kecurian token
- Huraikan dan sahkan penerangan alat sebelum pemprosesan AI
- Jalankan alat dengan kebenaran minimum yang diperlukan
- Tetapkan versi alat dan semak kod sebelum pelaksanaan
Risiko Rantaian Bekalan Menguatkan Kebimbangan Keselamatan
Model pengedaran untuk alat MCP memperkenalkan vektor serangan rantaian bekalan yang boleh membawa akibat yang meluas. Tidak seperti serangan rantaian bekalan tradisional yang mungkin mencuri kelayakan atau memasang pelombong mata wang kripto, alat MCP yang terkompromi boleh mengakses sejarah perbualan, kandungan pangkalan data, dan menyamar sebagai pengguna merentasi perkhidmatan yang disambungkan.
Ini boleh digunakan dengan mudah untuk mencari benih/kunci peribadi apabila ejen pengekodan AI berada dalam mod YOLO .
Komuniti telah memerhati amalan keselamatan yang tidak konsisten merentasi repositori alat MCP yang popular, dengan banyak alat meminta kebenaran yang berlebihan dan menerima semakan kod yang minimum. Keadaan ini menjadi lebih kritikal apabila penggunaan MCP semakin pesat dalam sektor sensitif seperti perkhidmatan kewangan dan penjagaan kesihatan.
Corak Bersejarah Berulang dalam Era AI
Isu keselamatan yang melanda pelaksanaan MCP mencerminkan corak yang lebih luas dalam penggunaan teknologi. Ahli komuniti telah menarik persamaan dengan kegagalan keselamatan sebelumnya, menyatakan bahawa masalah asas yang sama - konfigurasi lalai, kebenaran berlebihan, dan pengesahan yang tidak mencukupi - terus muncul dalam teknologi baru.
Corak ini melangkaui MCP untuk memasukkan contoh bersejarah seperti pangkalan data MongoDB yang tidak selamat yang ditemui terdedah di internet tanpa perlindungan kata laluan. Era AI kelihatan mengulangi kesilapan ini dengan pelayan MCP , menunjukkan bahawa pengajaran daripada insiden keselamatan masa lalu tidak dimasukkan dengan secukupnya ke dalam pembangunan protokol baru.
Tingkap untuk menangani kelemahan ini dengan bersih semakin mengecil apabila penggunaan MCP semakin pesat. Organisasi yang sedang menggunakan sistem berasaskan MCP kini harus mengutamakan audit keselamatan dan melaksanakan mekanisme pengesahan yang betul sebelum isu ini menjadi berakar umbi merentasi beribu-ribu penggunaan pengeluaran.