Mới đây, hãng bảo mật Kaspersky phát hiện rằng Model Context Protocol (MCP) bị hacker biến thành kênh tấn công chuỗi cung ứng, gây ra những hậu quả nghiêm trọng như rò rỉ mật khẩu, dữ liệu thẻ tín dụng, thông tin tài khoản ngân hàng, ví điện tử và nhiều loại dữ liệu khác. Trong nghiên cứu mới, các chuyên gia Kaspersky trình bày khái niệm tấn công và chia sẻ các biện pháp giảm thiểu cho doanh nghiệp đang tích hợp công cụ AI vào quy trình làm việc.
Được Anthropic công bố mã nguồn mở vào năm 2024, Model Context Protocol (MCP) là một tiêu chuẩn cung cấp cho các hệ thống AI, đặc biệt là các ứng dụng dựa trên LLM – cách thức thống nhất để kết nối với công cụ và dịch vụ bên ngoài. Ví dụ, các tổ chức có thể dùng nó để cho phép LLM tìm kiếm, cập nhật tài liệu, quản lý kho mã và API, hoặc truy cập dữ liệu CRM, tài chính, đám mây.
Giống như mọi công cụ mã nguồn mở khác, MCP có thể bị kẻ xấu lợi dụng. Trong nghiên cứu mới, các chuyên gia thuộc Nhóm Ứng cứu Khẩn cấp Kaspersky (GERT) đã xây dựng một bằng chứng khái niệm (proof-of-concept) mô phỏng cách kẻ tấn công có thể khai thác một máy chủ MCP độc hại.
Mục tiêu là chứng minh cách các cuộc tấn công chuỗi cung ứng có thể diễn ra qua giao thức này và cho thấy rủi ro tiềm ẩn khi vận hành các công cụ mà không được kiểm toán kỹ. Trong thử nghiệm bảo mật có kiểm soát, họ mô phỏng một máy trạm của lập trình viên với máy chủ MCP giả mạo được cài đặt, và cuối cùng thu thập được các loại dữ liệu nhạy cảm như: Mật khẩu trình duyệt, dữ liệu tài khoản ngân hàng, thẻ tín dụng, tệp ví tiền điện tử, mã thông báo API và chứng chỉ, cấu hình đám mây…
Trong cuộc tấn công giả lập, “nạn nhân” chỉ nhìn thấy kết quả hợp pháp. Kaspersky chưa quan sát thấy kiểu tấn công này ngoài thực tế nhưng cảnh báo rằng kẻ xấu có thể lợi dụng không chỉ để lấy dữ liệu nhạy cảm mà còn gây các tác hại khác như thực thi mã độc, cài cửa hậu, triển khai ransomware…
Trong nghiên cứu, Kaspersky sử dụng Cursor làm ví dụ về khách hàng AI kết nối với máy chủ MCP bị vũ khí hóa, tuy nhiên khái niệm tấn công này có thể áp dụng cho các LLM khác. Cursor và Anthropic đã được thông báo về kết quả nghiên cứu.
“Các cuộc tấn công chuỗi cung ứng vẫn là một trong những mối đe dọa nhức nhối nhất trong lĩnh vực an ninh mạng, và khả năng biến đổi MCP mà chúng tôi trình diễn cũng theo xu hướng này. Khi AI đang rất được quan tâm và doanh nghiệp đua nhau tích hợp các công cụ này vào quy trình, họ có thể mất cảnh giác và khi sử dụng một MCP tùy chỉnh tưởng chừng hợp pháp nhưng chưa được kiểm chứng – có thể đăng trên Reddit hay nền tảng tương tự – sẽ phải đối mặt rủi ro rò rỉ dữ liệu. Điều này nhấn mạnh tầm quan trọng của việc duy trì tư thế an ninh vững chắc. Trong sách trắng mới, chúng tôi chia sẻ chi tiết kỹ thuật về vectơ tấn công tiềm ẩn này cùng các biện pháp giúp tránh trở thành nạn nhân”, Mohamed Ghobashy, Chuyên gia Ứng phó Sự cố, Nhóm Ứng cứu Khẩn cấp Toàn cầu Kaspersky (GERT) cho biết.
Do đó, chuyên gia khuyến cáo kiểm tra MCP trước khi cài đặt. Mỗi máy chủ mới phải được quét, rà soát và phê duyệt trước khi dùng trong môi trường sản xuất. Duy trì danh sách trắng các máy chủ đã được chấp thuận để nhận diện ngay những cái mới.
Cùng với đó, giới hạn quyền. Chạy máy chủ hoặc máy ảo với quyền truy cập chỉ ở các thư mục cần thiết, giới hạn mạng để môi trường phát triển không thể tiếp cận môi trường sản xuất hay hệ thống nhạy cảm khác.
Hơn nữa, chuyên gia khuyên nên giám sát hành vi bất thường, ghi log mọi prompt và phản hồi để phát hiện chỉ dẫn ẩn hoặc lệnh công cụ bất thường. Theo dõi các prompt khả nghi, lệnh SQL bất ngờ hoặc luồng dữ liệu lạ, như lưu lượng ra ngoài được kích hoạt bởi tác nhân ngoài quy trình chuẩn.
Sử dụng dịch vụ bảo mật bao phủ toàn bộ chu trình quản lý sự cố – từ nhận diện mối đe dọa đến bảo vệ liên tục và khắc phục. Điều này giúp phòng ngừa tấn công tinh vi, điều tra sự cố và cung cấp chuyên môn bổ sung ngay cả khi doanh nghiệp thiếu nhân lực an ninh mạng.
