Các nhà nghiên cứu bảo mật tại Veradocs đã phát hiện những lỗ hổng nghiêm trọng trong Model Context Protocol ( MCP ) cho phép các máy chủ độc hại thực thi mã tùy ý trên hệ thống của người dùng. Những lỗ hổng này ảnh hưởng đến các công cụ phát triển AI phổ biến bao gồm Claude Code , Gemini CLI và các ứng dụng hỗ trợ MCP khác, gây ra những lo ngại nghiêm trọng về bảo mật trong việc tích hợp công cụ AI.
MCP là một giao thức cho phép các hệ thống AI tương tác với các nguồn dữ liệu và công cụ bên ngoài. Mặc dù được thiết kế để nâng cao khả năng của AI, những phát hiện gần đây cho thấy việc kết nối với các máy chủ MCP không đáng tin cậy có thể làm tổn hại toàn bộ hệ thống thông qua việc bỏ qua xác thực và lỗi xác thực đầu vào.
Các Nền tảng Bị Ảnh hưởng:
- Claude Code ( Anthropic )
- Gemini CLI ( Google )
- Thư viện CloudFront
- MCP Inspector
- Các triển khai ChatGPT khác nhau
Vấn đề bảo mật cốt lõi
Các lỗ hổng xuất phát từ nhiều lớp lỗi bảo mật. Các nhà nghiên cứu phát hiện rằng nhiều triển khai MCP không xác thực đúng cách việc xác thực từ các máy chủ MCP , cho phép các tác nhân độc hại bỏ qua các biện pháp kiểm soát bảo mật. Chuỗi tấn công thường liên quan đến một máy chủ MCP bị xâm phạm hoặc độc hại khai thác các lỗ hổng phía máy khách để có quyền truy cập hệ thống.
Một lỗ hổng nghiêm trọng liên quan đến các lỗ hổng Cross-Site Scripting ( XSS ) trong thư viện CloudFront được sử dụng bởi nhiều máy khách MCP khác nhau. Việc xử lý không đúng cách các thao tác chuỗi con của thư viện cho phép kẻ tấn công tiêm mã JavaScript độc hại có thể thoát khỏi các hạn chế bảo mật và thực thi các lệnh tùy ý trên hệ thống máy chủ.
Tranh luận cộng đồng về đánh giá rủi ro
Việc tiết lộ bảo mật đã gây ra cuộc tranh luận sôi nổi trong cộng đồng nhà phát triển về bản chất thực sự của những rủi ro này. Một số người cho rằng các máy chủ MCP nên được đối xử như bất kỳ phụ thuộc bên ngoài nào khác, tương tự như các gói npm hoặc tiện ích mở rộng trình duyệt, nơi người dùng tự nhiên chấp nhận một số rủi ro khi kết nối với các nguồn không đáng tin cậy.
Các máy chủ MCP tương tự như các gói PyPI mà bạn pip install, các module npm bạn thêm vào dự án hoặc một tiện ích mở rộng VSCode . Không ai có thể tranh luận rằng pip có vấn đề cơ bản vì chạy pip install malicious-package có thể làm tổn hại hệ thống của bạn.
Tuy nhiên, những người khác cho rằng các máy khách MCP nên cung cấp sandbox tốt hơn, tương tự như cách trình duyệt web bảo vệ người dùng khỏi các trang web độc hại. Việc triển khai hiện tại trình bày các máy chủ MCP theo kiểu thị trường, giúp người dùng dễ dàng kết nối với các nguồn có khả năng nguy hiểm mà không cần kiểm tra đúng cách.
 |
|---|
| Một cảnh báo cho biết việc khai thác lỗ hổng Cross-Site Scripting (XSS), minh họa các rủi ro khi kết nối với các máy chủ Model Context Protocol ( MCP ) không đáng tin cậy |
Phản ứng của ngành và các bản sửa lỗi
Các công ty công nghệ lớn đã phản ứng nhanh chóng với các báo cáo lỗ hổng. Anthropic , Google và Cloudflare mỗi công ty đều triển khai các cách tiếp cận khác nhau để giải quyết các vấn đề bảo mật. Cloudflare đã giới thiệu xác thực script trong triển khai bugsnag của họ, trong khi Anthropic cập nhật Claude Code với các cơ chế xác thực nâng cao.
Bản sửa lỗi của Google cho Gemini CLI tập trung vào việc thoát dấu nháy đơn trong các lệnh PowerShell , mặc dù một số nhà nghiên cứu chỉ trích điều này là một giải pháp tối thiểu. Các cách tiếp cận khác nhau làm nổi bật sự phức tạp của việc bảo mật các triển khai MCP trên các nền tảng và trường hợp sử dụng khác nhau.
Thanh toán Bug Bounty:
- Anthropic Claude Code: $23,322 USD
- Anthropic MCP: $12,222 USD
- Cloudflare: $99,233 USD (tác động đến tính khả dụng)
- Google Gemini CLI: Được giải quyết như trường hợp trùng lặp
Tác động rộng hơn đối với bảo mật AI
Các lỗ hổng MCP phơi bày những lo ngại sâu sắc hơn về tốc độ phát triển nhanh chóng trong ngành AI. Nhiều nhà phát triển lưu ý rằng chất lượng mã từ các công ty AI thường có vẻ vội vàng, gợi nhớ đến tư duy move fast, break stuff đã gây ra các vấn đề bảo mật trong các lĩnh vực công nghệ khác.
Sự cố này cũng đặt ra câu hỏi về kiến trúc cơ bản của việc tích hợp công cụ AI. Một số chuyên gia cho rằng cách tiếp cận hiện tại là tải các phản hồi công cụ bên ngoài trực tiếp vào ngữ cảnh AI tạo ra những rủi ro bảo mật vốn có có thể khó giải quyết hoàn toàn.
Bất chấp những lo ngại về bảo mật, những người ủng hộ cho rằng MCP đại diện cho một bước quan trọng hướng tới khả năng tương tác AI toàn cầu. Các tính năng đàm phán khả năng của giao thức cung cấp tiềm năng đáng kể cho việc tích hợp hệ thống AI, ngay cả khi việc triển khai hiện tại cần cải thiện bảo mật.
Các nhà nghiên cứu đã nhận được thanh toán bug bounty từ 12.222 đô la Mỹ đến 23.322 đô la Mỹ từ nhiều công ty khác nhau, mặc dù một số người trong cộng đồng đặt câu hỏi liệu những số tiền này có phản ánh đầy đủ mức độ nghiêm trọng của các lỗ hổng thực thi mã từ xa hay không.
MCP (Model Context Protocol): Một giao thức truyền thông cho phép các hệ thống AI tương tác với các công cụ và nguồn dữ liệu bên ngoài
XSS (Cross-Site Scripting): Một lỗ hổng bảo mật cho phép kẻ tấn công tiêm các script độc hại vào các ứng dụng web
Tham khảo: From MCP to Shell