Các nhà nghiên cứu bảo mật đã phát hiện những lỗ hổng đáng kể trong các triển khai Model Context Protocol ( MCP ) của Anthropic , làm dấy lên lo ngại về việc áp dụng nhanh chóng tiêu chuẩn tích hợp công cụ AI này. Những phát hiện này làm nổi bật một mô hình thiếu sót bảo mật có thể khiến các tổ chức phải đối mặt với rủi ro rò rỉ dữ liệu và xâm phạm hệ thống.
MCP đóng vai trò như một lớp giao tiếp tiêu chuẩn giữa các mô hình AI và các công cụ bên ngoài, tương tự như cách hoạt động của REST APIs đối với các dịch vụ web. Tuy nhiên, tiến độ triển khai nhanh chóng của giao thức này đã dẫn đến những khoảng trống bảo mật rộng rãi, phản ánh những sai lầm lịch sử trong việc triển khai công nghệ.
Các cuộc tấn công chèn mô tả công cụ gây ra rủi ro tức thì
Lỗ hổng đáng lo ngại nhất liên quan đến việc chèn mô tả công cụ, nơi các tác nhân độc hại có thể nhúng các hướng dẫn có hại trực tiếp vào các mô tả ngôn ngữ tự nhiên mà các mô hình AI đọc để hiểu các công cụ có sẵn. Không giống như các cuộc tấn công chèn prompt truyền thống đòi hỏi đầu vào từ người dùng, lỗ hổng này tồn tại ngay trong chính giao thức. Khi các hệ thống AI xử lý những mô tả này, chúng có thể vô tình thực hiện các hướng dẫn độc hại trong khi có vẻ như đang thực hiện các tác vụ hợp pháp.
Các cuộc thảo luận trong cộng đồng cho thấy vector tấn công này đặc biệt nguy hiểm vì người dùng thường không bao giờ nhìn thấy các mô tả công cụ. Họ quan sát các thông báo trạng thái bình thường như đang kiểm tra thời tiết... trong khi hệ thống AI thực thi các lệnh hoàn toàn khác ở chế độ nền. Việc thử nghiệm trên các triển khai MCP phổ biến cho thấy hầu hết không cố gắng làm sạch những mô tả này, khiến chúng dễ bị khai thác.
Kết quả Kiểm tra Lỗ hổng Bảo mật:
- Tấn công chèn mô tả công cụ thành công: 2/4 triển khai MCP được kiểm tra
- Phát hiện các endpoint không xác thực: 1/10 triển khai sản xuất
- Xác định các công cụ có quyền truy cập quá mức: Nhiều trường hợp trên các kho lưu trữ
Khoảng trống xác thực để lộ hệ thống
Bối cảnh xác thực cho các triển khai MCP có vẻ chưa được phát triển nghiêm trọng. Nhiều triển khai sản xuất hoặc bỏ qua hoàn toàn việc xác thực hoặc dựa vào xác thực API key cơ bản có thể dễ dàng bị vượt qua. Cộng đồng đã lưu ý rằng trong khi các đặc tả MCP mới hơn bao gồm các yêu cầu OAuth , các triển khai hiện tại đã chậm trong việc áp dụng những biện pháp bảo mật này.
Một mô hình đặc biệt đáng lo ngại liên quan đến các máy chủ chỉ xác thực thông tin đăng nhập cho một số loại yêu cầu nhất định trong khi để những yêu cầu khác hoàn toàn mở. Cách tiếp cận không nhất quán này tạo ra các điểm mù bảo mật mà kзлоумышленники có thể khai thác để có được quyền truy cập trái phép vào các hệ thống được hỗ trợ bởi AI.
Các Khuyến Nghị Bảo Mật Chính:
- Triển khai các mẫu OAuth Resource Server như được quy định trong MCP 2025-06-18
- Sử dụng Resource Indicators ( RFC 8707 ) để ngăn chặn việc đánh cắp token
- Phân tích và xác thực mô tả công cụ trước khi xử lý AI
- Chạy các công cụ với quyền hạn tối thiểu cần thiết
- Cố định phiên bản công cụ và xem xét mã nguồn trước khi triển khai
Rủi ro chuỗi cung ứng khuếch đại mối lo ngại bảo mật
Mô hình phân phối cho các công cụ MCP giới thiệu các vector tấn công chuỗi cung ứng có thể có hậu quả sâu rộng. Không giống như các cuộc tấn công chuỗi cung ứng truyền thống có thể đánh cắp thông tin đăng nhập hoặc cài đặt các phần mềm đào tiền điện tử, các công cụ MCP bị xâm phạm có thể truy cập lịch sử hội thoại, nội dung cơ sở dữ liệu và mạo danh người dùng trên các dịch vụ được kết nối.
Điều này có thể dễ dàng được sử dụng để tìm kiếm seeds/private keys khi các AI coding agents đang ở chế độ YOLO.
Cộng đồng đã quan sát thấy các thực hành bảo mật không nhất quán trên các kho công cụ MCP phổ biến, với nhiều công cụ yêu cầu quyền quá mức và nhận được ít đánh giá mã. Tình hình này trở nên quan trọng hơn khi việc áp dụng MCP tăng tốc trong các lĩnh vực nhạy cảm như dịch vụ tài chính và chăm sóc sức khỏe.
Các mô hình lịch sử lặp lại trong kỷ nguyên AI
Các vấn đề bảo mật đang gây khó khăn cho các triển khai MCP phản ánh một mô hình rộng hơn trong việc triển khai công nghệ. Các thành viên cộng đồng đã rút ra những điểm tương đồng với các thất bại bảo mật trước đây, lưu ý rằng những vấn đề cơ bản giống nhau - cấu hình mặc định, quyền quá mức và xác thực không đầy đủ - tiếp tục xuất hiện trong các công nghệ mới.
Mô hình này mở rộng ra ngoài MCP để bao gồm các ví dụ lịch sử như các cơ sở dữ liệu MongoDB không được bảo mật được phát hiện lộ ra trên internet mà không có bảo vệ mật khẩu. Kỷ nguyên AI dường như đang lặp lại những sai lầm này với các máy chủ MCP , cho thấy rằng những bài học từ các sự cố bảo mật trong quá khứ chưa được kết hợp đầy đủ vào việc phát triển giao thức mới.
Cửa sổ để giải quyết những lỗ hổng này một cách sạch sẽ đang thu hẹp khi việc áp dụng MCP tăng tốc. Các tổ chức hiện đang triển khai các hệ thống dựa trên MCP nên ưu tiên kiểm toán bảo mật và triển khai các cơ chế xác thực phù hợp trước khi những vấn đề này trở nên ăn sâu trên hàng nghìn triển khai sản xuất.