Komuniti pembangunan AI telah dikejutkan dengan penemuan pelayan Model Control Protocol ( MCP ) berniat jahat pertama yang disahkan di alam maya. Pakej postmark-mcp , yang dimuat turun 1,500 kali seminggu dan dipercayai oleh beratus-ratus pembangun, secara rahsia menyalin setiap e-mel ke pelayan peribadi penyerang selama berbulan-bulan.
Insiden ini telah mencetuskan perdebatan sengit mengenai model keselamatan asas pelayan MCP dan sama ada pendekatan semasa mempercayai alat pihak ketiga dengan operasi sensitif adalah mampan.
Skala Impak:
- 1,500 muat turun mingguan
- Dianggarkan 300 organisasi terjejas (dengan andaian 20% penggunaan aktif)
- Beribu-ribu e-mel berpotensi dicuri setiap hari
- Alamat e-mel pintu belakang: domain @hotmail.club
 |
|---|
| Meneroka ancaman pelayan Model Control Protocol (MCP) berniat jahat pertama yang telah mencuri e-mel |
Serangan Tersebut Sangat Mudah Sehingga Memalukan
Kod berniat jahat hanya terdiri daripada satu baris yang ditambah kepada versi 1.0.16 pakej postmark-mcp : medan BCC tersembunyi yang secara senyap menyalin setiap e-mel ke alamat luaran. Apa yang menjadikan serangan ini sangat berbahaya adalah masanya - pembangun telah membina kepercayaan tulen selama 15 versi sebelumnya sebelum memperkenalkan pintu belakang.
Penyerang menyamar sebagai perkhidmatan e-mel Postmark yang sah dengan menyalin kod rasmi mereka dan menerbitkannya semula dengan nama yang sama di npm . Selama berminggu-minggu, versi berniat jahat beroperasi tanpa dikesan, berpotensi mendedahkan set semula kata laluan, invois, komunikasi dalaman, dan dokumen sulit daripada anggaran 300 organisasi.
Pelayan MCP adalah alat yang membolehkan pembantu AI melakukan tindakan seperti menghantar e-mel, menjalankan pertanyaan pangkalan data, dan melaksanakan arahan sistem secara autonomi.
Garis Masa Serangan:
- Versi 1.0.0-1.0.15: Fungsi yang sah, membina kepercayaan pengguna
- Versi 1.0.16: Baris BCC berniat jahat ditambah pada baris 221
- Selepas penemuan: Pakej dipadamkan daripada npm, tetapi pemasangan sedia ada kekal terjejas
Komuniti Membangkitkan Kebimbangan Mengenai Pengurusan Pakej
Penemuan ini telah mencetuskan semula perbincangan mengenai peranan npm sebagai platform pengedaran untuk alat kritikal. Beberapa ahli komuniti menyatakan bahawa npm telah menjadi pilihan lalai walaupun untuk alat bukan- JavaScript , dengan sesetengahnya menyatakan bahawa walaupun OpenAI mengedarkan alat yang dibina dengan Rust melalui npm kerana kemudahan.
Hampir selalu pakej npm . Saya tahu itu kerana npm adalah sistem pakej yang paling banyak digunakan dan paling memotivasikan penyerang. Tetapi masih meninggalkan rasa tidak enak di mulut saya.
Sesetengah pembangun telah menggunakan langkah pertahanan, menjalankan pelayan MCP dalam bekas Docker yang diasingkan di rangkaian berasingan. Walau bagaimanapun, yang lain berpendapat bahawa tahap paranoia ini tidak sepatutnya diperlukan untuk alat pembangunan asas.
 |
|---|
| Logistik penghantaran e-mel yang diwakili melalui watak-watak yang melambangkan pakej postmark-mcp dan persekitarannya |
Masalah Model Keselamatan Yang Lebih Luas
Apa yang menjadikan insiden ini sangat membimbangkan adalah bagaimana ia mendedahkan andaian kepercayaan asas dalam ekosistem MCP . Tidak seperti perpustakaan perisian tradisional, pelayan MCP direka untuk digunakan secara autonomi oleh pembantu AI , selalunya beratus-ratus kali sehari tanpa pengawasan manusia.
Perdebatan komuniti telah menyerlahkan perbezaan utama: walaupun mana-mana kebergantungan luaran secara teorinya boleh terjejas, pelayan MCP beroperasi dengan keistimewaan tinggi dan akses terus kepada operasi sensitif seperti penghantaran e-mel dan akses pangkalan data. Apabila pembantu AI menggunakan pelayan MCP yang terjejas, ia tidak mempunyai keupayaan untuk mengesan atau mempersoalkan tingkah laku yang mencurigakan.
Sesetengah pembangun menyokong pendekatan yang lebih berhati-hati, mengelakkan perpustakaan pihak ketiga sepenuhnya untuk operasi kritikal seperti penghantaran e-mel. Yang lain berpendapat bahawa ini mewakili masalah keselamatan rantaian bekalan yang lebih luas yang melangkaui ekosistem MCP .
Petunjuk Kompromi (IOCs):
- Pakej: postmark-mcp (npm)
- Versi berniat jahat: 1.0.16 dan yang terkini
- Pengesanan: Semak header BCC yang mencurigakan dalam log e-mel keluar
- Mitigasi: Nyahpasang segera, putaran kelayakan, audit log e-mel
Pengajaran dan Risiko Berterusan
Insiden postmark-mcp menunjukkan bagaimana pembangun yang sah dengan identiti sebenar dan reputasi yang mantap masih boleh menjadi vektor ancaman. Motivasi penyerang masih tidak jelas - sama ada tekanan kewangan, paksaan luaran, atau oportunisme mudah yang membawa kepada keputusan untuk meletakkan pintu belakang kepada pengguna yang dipercayai.
Apa yang sangat merisaukan adalah pemasangan yang terjejas kekal aktif walaupun selepas pakej dikeluarkan daripada npm . Organisasi yang menggunakan versi berniat jahat terus membocorkan e-mel sehingga mereka secara manual mengeluarkan perisian yang terjejas.
Kes ini berfungsi sebagai peringatan untuk komuniti pembangunan AI mengenai risiko mempercayai alat pihak ketiga secara membuta tuli dengan operasi sensitif. Apabila pelayan MCP menjadi lebih berleluasa, keperluan untuk model keselamatan yang lebih baik, pemantauan berterusan, dan sistem pengesahan menjadi semakin kritikal.
Rujukan: First Malicious MCP in the Wild: The Postmark Backdoor That's Stealing Your Emails
 |
|---|
| Representasi yang menyeronokkan tentang kepentingan memantau kemas kini perisian untuk memastikan keselamatan dalam pembangunan perisian |