Cộng đồng phát triển AI đã bị chấn động bởi việc phát hiện ra MCP server (Model Control Protocol) độc hại đầu tiên được xác nhận trong thực tế. Gói postmark-mcp , được tải xuống 1.500 lần mỗi tuần và được hàng trăm nhà phát triển tin tưởng, đã bí mật sao chép mọi email đến máy chủ cá nhân của kẻ tấn công trong nhiều tháng.
Sự cố này đã châm ngòi cho cuộc tranh luận gay gắt về mô hình bảo mật cơ bản của các MCP server và liệu cách tiếp cận hiện tại là tin tưởng các công cụ bên thứ ba với các hoạt động nhạy cảm có bền vững hay không.
Quy mô tác động:
- 1.500 lượt tải xuống hàng tuần
- Ước tính 300 tổ chức bị ảnh hưởng (giả định 20% sử dụng tích cực)
- Hàng nghìn email có khả năng bị đánh cắp mỗi ngày
- Địa chỉ email backdoor: tên miền @hotmail.club
 |
|---|
| Khám phá mối đe dọa của máy chủ Model Control Protocol ( MCP ) độc hại đầu tiên đã đánh cắp email |
Cuộc tấn công đơn giản đến đáng xấu hổ
Mã độc hại chỉ bao gồm một dòng được thêm vào phiên bản 1.0.16 của gói postmark-mcp : một trường BCC ẩn âm thầm sao chép mọi email đến một địa chỉ bên ngoài. Điều khiến cuộc tấn công này đặc biệt nguy hiểm là thời điểm - nhà phát triển đã xây dựng được lòng tin thực sự qua 15 phiên bản trước đó trước khi đưa backdoor vào.
Kẻ tấn công đã mạo danh dịch vụ email Postmark hợp pháp bằng cách sao chép mã chính thức của họ và tái xuất bản dưới cùng tên trên npm . Trong nhiều tuần, phiên bản độc hại hoạt động mà không bị phát hiện, có khả năng làm lộ thông tin đặt lại mật khẩu, hóa đơn, thông tin liên lạc nội bộ và tài liệu bí mật từ ước tính 300 tổ chức.
Các MCP server là công cụ cho phép trợ lý AI thực hiện các hành động như gửi email, chạy truy vấn cơ sở dữ liệu và thực thi lệnh hệ thống một cách tự động.
Dòng thời gian tấn công:
- Phiên bản 1.0.0-1.0.15: Chức năng hợp pháp, xây dựng lòng tin của người dùng
- Phiên bản 1.0.16: Dòng BCC độc hại được thêm vào dòng 221
- Sau khi phát hiện: Gói được xóa khỏi npm , nhưng các cài đặt hiện có vẫn bị nhiễm
Cộng đồng nêu lên mối quan ngại về quản lý gói
Việc phát hiện này đã làm bùng phát lại các cuộc thảo luận về vai trò của npm như một nền tảng phân phối cho các công cụ quan trọng. Một số thành viên cộng đồng chỉ ra rằng npm đã trở thành lựa chọn mặc định ngay cả đối với các công cụ không phải JavaScript , với một số người lưu ý rằng ngay cả OpenAI cũng phân phối các công cụ được xây dựng bằng Rust thông qua npm vì sự tiện lợi.
Hầu như luôn là các gói npm . Tôi biết đó là vì npm là hệ thống gói được sử dụng rộng rãi nhất và có động lực nhất cho kẻ tấn công. Nhưng vẫn để lại cảm giác tồi tệ trong tôi.
Một số nhà phát triển đã áp dụng các biện pháp phòng thủ, chạy các MCP server trong các container Docker cô lập trên các mạng riêng biệt. Tuy nhiên, những người khác cho rằng mức độ hoang tưởng này không nên cần thiết đối với các công cụ phát triển cơ bản.
 |
|---|
| Logistics của việc giao hàng email được thể hiện thông qua các nhân vật tượng trưng cho gói postmark-mcp và môi trường của nó |
Vấn đề mô hình bảo mật rộng hơn
Điều khiến sự cố này đặc biệt đáng lo ngại là cách nó phơi bày các giả định tin tưởng cơ bản trong hệ sinh thái MCP . Không giống như các thư viện phần mềm truyền thống, các MCP server được thiết kế để được sử dụng tự động bởi các trợ lý AI , thường là hàng trăm lần mỗi ngày mà không có sự giám sát của con người.
Cuộc tranh luận trong cộng đồng đã làm nổi bật một sự phân biệt quan trọng: trong khi bất kỳ phụ thuộc bên ngoài nào về mặt lý thuyết đều có thể bị xâm phạm, các MCP server hoạt động với các đặc quyền nâng cao và truy cập trực tiếp vào các hoạt động nhạy cảm như gửi email và truy cập cơ sở dữ liệu. Khi một trợ lý AI sử dụng một MCP server bị xâm phạm, nó không có khả năng phát hiện hoặc đặt câu hỏi về hành vi đáng ngờ.
Một số nhà phát triển ủng hộ cách tiếp cận thận trọng hơn, tránh hoàn toàn các thư viện bên thứ ba cho các hoạt động quan trọng như gửi email. Những người khác cho rằng điều này đại diện cho một vấn đề bảo mật chuỗi cung ứng rộng hơn mở rộng xa hơn hệ sinh thái MCP .
Các chỉ báo xâm nhập (IOCs):
- Gói: postmark-mcp (npm)
- Các phiên bản độc hại: 1.0.16 và các phiên bản sau đó
- Phát hiện: Kiểm tra các header BCC đáng ngờ trong nhật ký email gửi đi
- Giảm thiểu: Gỡ cài đặt ngay lập tức, xoay vòng thông tin xác thực, kiểm tra nhật ký email
Bài học và rủi ro đang diễn ra
Sự cố postmark-mcp chứng minh cách một nhà phát triển hợp pháp với danh tính thực và danh tiếng đã được thiết lập vẫn có thể trở thành một vector đe dọa. Động cơ của kẻ tấn công vẫn chưa rõ ràng - liệu áp lực tài chính, ép buộc bên ngoài, hay chủ nghĩa cơ hội đơn giản đã dẫn đến quyết định backdoor những người dùng tin tưởng.
Điều đặc biệt đáng lo ngại là các cài đặt bị xâm phạm vẫn hoạt động ngay cả sau khi gói đã được gỡ bỏ khỏi npm . Các tổ chức sử dụng các phiên bản độc hại tiếp tục rò rỉ email cho đến khi họ thủ công gỡ bỏ phần mềm bị xâm phạm.
Trường hợp này đóng vai trò như một tiếng chuông cảnh báo cho cộng đồng phát triển AI về những rủi ro của việc mù quáng tin tưởng các công cụ bên thứ ba với các hoạt động nhạy cảm. Khi các MCP server trở nên phổ biến hơn, nhu cầu về các mô hình bảo mật tốt hơn, giám sát liên tục và hệ thống xác minh trở nên ngày càng quan trọng.
Tham khảo: First Malicious MCP in the Wild: The Postmark Backdoor That's Stealing Your Emails
 |
|---|
| Một minh họa vui nhộn về tầm quan trọng của việc giám sát các bản cập nhật phần mềm để đảm bảo bảo mật trong phát triển phần mềm |