Pesquisadores de segurança descobriram vulnerabilidades críticas no recurso de amostragem do Model Context Protocol (MCP).
Revelando como servidores maliciosos podem explorar aplicativos integrados ao LLM para realizar roubo de recursos, sequestro de conversas e modificações não autorizadas do sistema.
Mecanismo de vetor de ataqueImpactRoubo de recursosInstruções ocultas em solicitações de amostragem fazem com que o LLM gere conteúdo extra e não visível.Drena cotas de computação de IA e créditos de API executando cargas de trabalho não autorizadas sem que o usuário perceba.Sequestro de conversa Altera o comportamento do assistente em toda a sessão e pode degradar a utilidade ou permitir comportamento prejudicial.Altera o comportamento do assistente em toda a sessão e pode degradar a utilidade ou permitir comportamento prejudicial.Invocação de ferramenta secretaInstruções incorporadas fazem com que o LLM chame ferramentas sem conhecimento ou consentimento explícito do usuário. Permite operações não autorizadas de arquivos, persistência e possível exfiltração de dados ou modificação do sistema.
O Model Context Protocol, introduzido pela Anthropic em novembro de 2024, padroniza como grandes modelos de linguagem se integram a ferramentas e fontes de dados externas.
Embora projetado para aprimorar os recursos de IA, o recurso de amostragem do protocolo, que permite que os servidores MCP solicitem conclusões de LLM, cria riscos de segurança significativos quando as proteções adequadas estão ausentes.
Três vetores de ataque crítico
Os pesquisadores de Paloalto demonstraram três ataques de prova de conceito conduzidos em um copiloto de codificação amplamente utilizado:
O usuário pede ao copiloto para ajudar a resumir o arquivo de código atual
Roubo de recursos: os invasores injetam instruções ocultas nas solicitações de amostragem, fazendo com que os LLMs gerem conteúdo não autorizado, embora pareçam normais para os usuários.
Um resumidor de código malicioso, por exemplo, anexou instruções para gerar histórias fictícias junto com a análise de código legítimo. Consumir recursos computacionais substanciais e créditos de API sem o conhecimento do usuário.
Sequestro de conversação: servidores MCP comprometidos podem injetar instruções persistentes que afetam sessões inteiras de conversação.
O usuário recebe um resumo do arquivo de código normalmente
Nas demonstrações, avisos ocultos forçaram os assistentes de IA a “falar como um pirata” em todas as respostas subsequentes. Demonstrando como servidores maliciosos alteram fundamentalmente o comportamento do sistema e comprometem potencialmente a funcionalidade.
Invocação secreta de ferramentas: servidores maliciosos aproveitam a injeção imediata para acionar execuções não autorizadas de ferramentas. Os pesquisadores mostraram como instruções ocultas podem desencadear operações de gravação de arquivos, permitindo a exfiltração de dados.
O LLM coloca a instrução maliciosa em sua resposta conforme solicitado pelo prompt oculto do MCP
Mecanismos de persistência e modificações não autorizadas do sistema sem consentimento explícito do usuário.
A vulnerabilidade decorre do modelo de confiança implícita da amostragem MCP e da falta de controles de segurança integrados.
Os servidores podem modificar prompts e respostas, permitindo que eles insiram instruções ocultas enquanto ainda parecem ferramentas normais.
O copiloto segue as instruções maliciosas colocadas na resposta
A defesa eficaz requer múltiplas camadas: solicite a sanitização usando modelos rígidos para separar o conteúdo do usuário das modificações do servidor.
Filtragem de respostas para remover frases semelhantes a instruções e controles de acesso para limitar os recursos do servidor.
As organizações devem implementar limites de tokens com base no tipo de operação e exigir aprovação explícita para execução da ferramenta.
O copiloto segue a solicitação de invocação da ferramenta maliciosa
De acordo com a Paloalto Networks, as organizações devem avaliar soluções de segurança de IA, incluindo plataformas de proteção de tempo de execução e avaliações de segurança abrangentes.
As descobertas sublinham a importância crítica de proteger a infraestrutura de IA à medida que a integração LLM se torna cada vez mais predominante em aplicações empresariais.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
