Tāda pati savienojamība, kas izdarīta Antropiskā modeļa konteksta protokols (MCP) Visātrāk papildinātais AI integrācijas standarts 2025. gadā ir izveidojis uzņēmuma kiberdrošības visbīstamāko neredzīgo vietu.
Jaunākie Pynta pētījumi Kvantificē pieaugošos draudus skaidrā, nepārprotamā izteiksmē. Viņu analīze atklāj satraucošo tīkla efektu, kas ietekmē ievainojamības, kas palielina vairāk MCP spraudņu. Tikai desmit MCP spraudņu izvietošana rada a 92% izmantošanas varbūtībaApvidū Pie trim savstarpēji savienotiem serveriem dangers pārsniedz 50%Apvidū Pat viens MCP spraudnis rada 9% ekspluatācijas varbūtību, un draudi ir eksponenciāli ar katru papildinājumu.
MCPS drošības paradokss virza vienu no uzņēmumu nozīmīgākajiem AI riskiem
MCP dizaina premisa sākās ar slavējamu mērķi risināt AI integrācijas haosu. Antropic izvēlējās standartizēt, kā lielo valodu modeļi (LLMS) izveido savienojumu ar ārējiem rīkiem un datu avotiem, nodrošinot to, kas ir nepieciešams katra organizācija, kas darbojas ar AI modeļiem un resursiem: universāls interfeiss AI aģentiem, lai piekļūtu visam, sākot no API, mākoņa pakalpojumiem, datu bāzēm un daudz ko citu.
Anthropic palaišana bija tik labi organizēta Šis MCP nekavējoties ieguva vilci ar daudziem vadošajiem AI uzņēmumiem nozarē, ieskaitot Google un Microsoft, kuri abi ātri pieņēma standartu. Tagad, neilgi desmit mēnešus pēc palaišanas, ir izvietoti vairāk nekā 16 000 MCP serveru Tikai Fortune 500 uzņēmumos tikai šogad.
MCP drošības paradoksa pamatā ir tā lielākais spēks, kas ir Bez berzes savienojamība un izplatīta integrācija ar pēc iespējas mazāk berzes. Šis protokola aspekts ir tā lielākais vājumsApvidū Drošība Nebija iebūvēts protokola pamatstruktūrā. Autentifikācija paliek pēc izvēles. Autorizācijas ietvari Ieradās tikai pirms sešiem mēnešiem atjauninājumos, mēnešus pēc tam, kad protokols bija redzējis plašu izvietošanu. Apvienojot, šie divi faktori ātri uzkurina plaši izplatīta uzbrukuma virsma kur katrs jaunais savienojums reizinās, radot a Tīkla efekts ievainojamības.
"MCP tiek piegādāts ar tādu pašu kļūdu, kādu mēs esam redzējuši katrā galvenajā protokola ieviešanā: nedroši noklusējumi," brīdina Merritt Baer, galvenais drošības virsnieks Enkrypt ai un nesenā intervijā VentureBeat sacīja padomnieks uzņēmumiem, tostarp Andezite un Appomni. "Ja mēs neveidojam autentifikāciju un vismazāk privilēģijas no pirmās dienas, mēs notīrīsim pārkāpumus nākamajai desmitgadei."
Avots: Pynt, kvantitatīvi nosakot riska iedarbību 281 MCPS ziņojumā
Kompozīcijas riska definēšana: kā drošība sabojājas mērogā
Pynta analīze No 281 MCP serveri sniedz datus, kas nepieciešami, lai ilustrētu matemātiskos principus, kas ir kompozīcijas riska pamatā.
Saskaņā ar viņu analīzi 72% MCP pakļauj jutīgas iespējas, kas ietver dinamisku koda izpildi, failu sistēmas piekļuvi un priviliģētus API zvanus, savukārt 13% pieņem neuzticamas ieejas, piemēram, tīmekļa nokasīšanu, atslābus ziņojumus, e -pastu vai RSS plūsmas. Kad šie divi riska faktori krustojas, tāpat kā 9% no reālās pasaules MCP iestatījumiem, uzbrucēji iegūst tiešus ceļus, lai pamudinātu injekcijas, komandu izpilde un datu izfiltrācija, bieži bez viena cilvēka apstiprinājuma. Tās nav hipotētiskas ievainojamības; Tie ir dzīvi, izmērāmi ekspluatācijas ceļi, kas paslēpti ikdienas MCP konfigurācijās.
"Pievienojoties MCP serverim, jūs ne tikai uzticaties savai drošībai, guess arī mantojat katra rīka, katra akreditācijas datuma, katra izstrādātāja higiēnu, katram šīs ķēdes izstrādātājam," Bērs brīdina. "Tas ir piegādes ķēdes dangers reālā laikā."
Avots: Pynt, kvantitatīvi nosakot riska iedarbību 281 MCPS ziņojumā
Arvien pieaugošā reālās pasaules izmantošanas bāze parāda, ka MCP ievainojamības ir reālas
Drošības pētījumu grupas no daudziem nozares vadošajiem uzņēmumiem turpina darbu, lai identificētu reālās pasaules izmantošanu, ko MCP šobrīd redz savvaļā, papildus tiem, kuriem ir teorētiski. MCP protokols turpina parādīt paaugstinātu ievainojamību dažādos scenārijos, un galvenie, ieskaitot šādus:
CVE-2025-6514 (CVSS 9.6): MCP-remote pakotne, kas lejupielādēta vairāk nekā 500 000 reizes, ir kritiska ievainojamība, kas ļauj izpildīt patvaļīgu OS komandu izpildi. "Ievainojamība ļauj uzbrucējiem izraisīt patvaļīgu OS komandu izpildi mašīnā, kurā darbojas MCP-remote, kad tas sāk savienojumu ar neuzticamu MCP serveri, palaižot pilnu sistēmas kompromisu," brīdina JFRog’s Drošības komanda.
Postmark MCP aizmugure: Koi drošība atklāja, ka Postmark-MCP NPM pakete bija trojanizēts, lai piešķirtu uzbrucējus netiešos "Dieva režīms" Piekļuve AI darbplūsmās. 1.0.16. Versijā ļaunprātīgais aktieris ievietoja vienu koda rindu, kas klusi bcc’s katrs izejošais e -pasts viņu domēnam (piemēram, phan@giftshop.membership), efektīvi eksplitējot iekšējās piezīmes, rēķinus un paroles atiestatīšanu, visi nesniedzot brīdinājumus. Kā Koi pētnieki Ievietojiet: "Šie MCP serveri darbojas ar tādām pašām privilēģijām kā pašiem AI palīgiem – pilna piekļuvei e -pastam, datu bāzes savienojumiem, API atļaujām – tomēr tie neparādās nekādā aktīvu uzskaitē, izlaidiet pārdevēja riska novērtējumu un apiet katru drošības kontroli no DLP uz e -pasta vārtiem."
Idans Dardikmans, Koi Safety līdzdibinātājs un CTO, raksta nesenā emuāra ierakstā Pakļaujot, cik nāvējoša ir Postmark-MCP NPM pakete, "Ļaujiet man kaut ko skaidri pateikt: MCP serveri nav kā parastie NPM paketes. Šie ir rīki, kas īpaši paredzēti AI palīgiem, lai tos varētu izmantot autonomi."
"Ja jūs izmantojat Postmark-MCP versiju 1.0.16 vai vēlāk, jūs esat kompromitēts. Nekavējoties noņemiet to un pagrieziet visus akreditācijas datus, kas varētu būt pakļauti pa e -pastu. Guess vēl svarīgāk ir tas, ka audits katru izmantojošo MCP serveri. Pajautājiet sev: vai jūs tiešām zināt, kuri izveidoja šos rīkus, kuriem uzticaties visam? " Dardikmans raksta. Viņš beidz postenis ar stabilu padomu: "Palieciet paranojas. Ar MCPS paranoja ir tikai laba jēga."
CVE-2025-49596: Oligo drošība atklāja kritisku RCE neaizsargātību Anthropic MCP inspektorā, ļaujot pārlūkprogrammai balstītus uzbrukumus. "Izmantojot koda izpildi izstrādātāja mašīnā, uzbrucēji var nozagt datus, instalēt aizmugures un pārvietoties sāniski pa tīkliem," skaidro Avi Lumelsky, drošības pētnieks
Bitu taka "Lēciena līnija" Uzbrukums: Pētnieki parādīja, cik ļauni MCP serveri Injicēšanas pamudinājumi instrumentu apraksti manipulēt ar AI izturēšanos, nekad netiek skaidri izsaukta. "Šī neaizsargātība izmanto kļūdainu pieņēmumu, ka cilvēki nodrošina uzticamu aizsardzības slāni," Komanda atzīmē.
Papildu ievainojamības ietver Ātri injekcijas uzbrukumi nolaupīt AI uzvedību, saindēšanās ar instrumentiemmanipulējot ar servera metadatiem, Autentifikācijas trūkumi kur žetoni iziet cauri neuzticamiem pilnvarniekiem un Piegādes ķēdes uzbrukumi, izmantojot kompromitētus NPM pakotnesApvidū
Vispirms jāizstrādā autentifikācijas plaisa
Autentifikācija un autorizācija sākotnēji MCP bija obligāta. Protokols par prioritāti uzskatīja savietojamību pār drošību, pieņemot, ka uzņēmumi pievienos savas kontroles. Viņi to nav izdarījuši. OAuth 2.0 Atļauja beidzot ieradās 2025. gada martā, rafinēta OAuth 2.1 Līdz jūnijam. Guess tūkstošiem MCP serveru, kas izvietoti bez autentifikācijas, paliek ražošanā.
Akadēmiskie pētījumi no Karalienes universitāte Analizēti 1 899 atvērtā pirmkoda MCP serveri un konstatēts, ka 7,2% satur vispārīgas ievainojamības un 5,5% saindēšanos ar MCP specifisku instrumentu. Gartnera aptauja (caur IBM cilvēka un mašīnas identitātes izplūdušo papīru) Atklāj, ka organizācijas izvieto 45 kiberdrošības rīkus, guess efektīvi pārvalda tikai 44% no mašīnas identitātēm, kas nozīmē, ka puse no uzņēmuma ekosistēmām identitātēm varētu būt neredzama un nepārvaldīta.
Visaptverošas MCP aizsardzības stratēģijas definēšana ir galda likmes
Daudzslāņu MCP aizsardzības stratēģijas definēšana palīdz aizvērt nepilnības, kas palikušas sākotnējā protokola struktūrā. Šeit definētie slāņi vēlas apvienot arhitektūras aizsardzības pasākumus un tūlītējus darbības pasākumus, lai samazinātu organizācijas draudu virsmu.
1. slānis: sāciet ar vājāko MCP zonu, kas ir autentifikācija un piekļuves kontrole
Autentifikācijas un piekļuves kontroles uzlabošana jāsāk ar izpildi OAuth 2.1 par katru MCP vārteju pāri organizācijai. Gārtējs Piezīmes, ka uzņēmumi, kas īsteno šos pasākumus, ziņo par 48% mazāku ievainojamību, par 30% labāku lietotāju pieņemšanu un centralizētu MCP servera uzraudzību. "MCP vārtejas kalpo par būtiskiem drošības starpniekiem," rakstīt Pētniecības firma, nodrošinot vienotu serveru katalogus un reālā laika uzraudzību.
2. slānis: Kāpēc semantiskajiem slāņiem ir nozīme kontekstuālajā drošībā
Semantiskie slāņi ir nepieciešami, lai katram piekļuves lēmumam nodrošinātu lielāku kontekstu, nodrošinot AI aģentu darbību tikai ar standartizētiem, uzticamiem un pārbaudāmiem datiem. Semantisko slāņu izvietošana palīdz samazināt darbības pieskaitāmās izmaksas, uzlabo dabiskās valodas vaicājuma precizitāti un nodrošina nepieciešamos reāllaika izsekojamības drošības vadītājus. VentureBeat redz, ka drošības politikas iegulšana tieši datu piekļuvei veicina samazinātus pārkāpumu riskus un drošākas aģentu analītikas darbplūsmas.
3. slānis: zināšanu grafiki ir nepieciešami redzamībai
Pēc definīcijas zināšanu grafiki savieno entītijas, analītikas aktīvus un biznesa procesus, ļaujot AI aģentiem darboties pārredzami un droši organizatoriskā kontekstā. Gartners uzsver šo spēju kā kritisku normatīvo aktu ievērošanai, revīzijai un uzticībai, īpaši sarežģītos jautājumos un darbplūsmās. Merritt Baer uzsver steidzamību: "Ja jūs šodien izmantojat MCP, jums jau ir nepieciešama drošība. Aizsargi, uzraudzība un revīzijas žurnāli nav obligāti – tie ir atšķirība starp jauninājumiem ar riska mazināšanu un bez tā," Iesaka Bērs.
Ieteicamais rīcības plāns drošības vadītājiem
VentureBeat iesaka drošības vadītājus, kuriem ir MCP balstītas integrācijas, kas aktīvi darbojas savās organizācijās, veic šādas piecas piesardzības darbības, lai nodrošinātu savu infrastruktūru:
-
Padariet to par MCP vārteju ieviešanas praksi, vispirms izpildot OAuth 2.1 un OpenID Connect vienlaikus centralizējot MCP servera reģistrāciju.
-
Definējiet, kā jūsu infrastruktūra var atbalstīt slāņainu drošības arhitektūru ar semantiskajiem slāņiem un zināšanu grafikiem līdzās vārtiem.
-
Pagrieziet regulāru MCP revīziju veikšanas darbību, izmantojot draudus, nepārtrauktu uzraudzību un sarkano komandu, kas atrodas jūsu drošības komandu muskuļu atmiņā, tāpēc to izdara ar refleksu.
-
Ierobežojiet MCP spraudņa izmantošanu tikai būtiskiem spraudņiem – atcerieties: 3 spraudņi = 52% risks, 10 spraudņi = 92% risksApvidū
-
Ieguldiet AI specifiskajā drošībā kā atšķirīga riska kategorija jūsu kiberdrošības stratēģijā.
