Audit di Sicurezza MCP: I Modelli Linguistici con il Protocollo di Contesto del Modello Consentono Importanti Exploit di Sicurezza
MCP Safety Audit: LLMs with the Model Context Protocol Allow Major Security Exploits
April 2, 2025
Autori: Brandon Radosevich, John Halloran
cs.AI
Abstract
Per ridurre l'overhead di sviluppo e consentire un'integrazione senza soluzione di continuità tra i potenziali componenti che costituiscono qualsiasi applicazione di intelligenza artificiale generativa, il Model Context Protocol (MCP) (Anthropic, 2024) è stato recentemente rilasciato e successivamente ampiamente adottato. L'MCP è un protocollo aperto che standardizza le chiamate API ai grandi modelli linguistici (LLM), alle fonti di dati e agli strumenti agentici. Collegando più server MCP, ciascuno definito con un insieme di strumenti, risorse e prompt, gli utenti sono in grado di definire flussi di lavoro automatizzati completamente guidati da LLM. Tuttavia, dimostriamo che l'attuale progettazione dell'MCP comporta una vasta gamma di rischi per la sicurezza degli utenti finali. In particolare, dimostriamo che i LLM leader del settore possono essere costretti a utilizzare strumenti MCP per compromettere il sistema di uno sviluppatore di IA attraverso vari attacchi, come l'esecuzione di codice dannoso, il controllo di accesso remoto e il furto di credenziali. Per mitigare proattivamente questi e altri attacchi correlati, introduciamo uno strumento di verifica della sicurezza, MCPSafetyScanner, il primo strumento agentico per valutare la sicurezza di un server MCP arbitrario. MCPScanner utilizza diversi agenti per (a) determinare automaticamente campioni avversari dati gli strumenti e le risorse di un server MCP; (b) cercare vulnerabilità e rimedi correlati basati su tali campioni; e (c) generare un report di sicurezza che dettaglia tutti i risultati. Il nostro lavoro evidenzia gravi problemi di sicurezza con i flussi di lavoro agentici di uso generale, fornendo al contempo uno strumento proattivo per verificare la sicurezza dei server MCP e affrontare le vulnerabilità rilevate prima della distribuzione. Lo strumento di verifica dei server MCP descritto, MCPSafetyScanner, è disponibile gratuitamente all'indirizzo: https://github.com/johnhalloran321/mcpSafetyScanner
English
To reduce development overhead and enable seamless integration between
potential components comprising any given generative AI application, the Model
Context Protocol (MCP) (Anthropic, 2024) has recently been released and
subsequently widely adopted. The MCP is an open protocol that standardizes API
calls to large language models (LLMs), data sources, and agentic tools. By
connecting multiple MCP servers, each defined with a set of tools, resources,
and prompts, users are able to define automated workflows fully driven by LLMs.
However, we show that the current MCP design carries a wide range of security
risks for end users. In particular, we demonstrate that industry-leading LLMs
may be coerced into using MCP tools to compromise an AI developer's system
through various attacks, such as malicious code execution, remote access
control, and credential theft. To proactively mitigate these and related
attacks, we introduce a safety auditing tool, MCPSafetyScanner, the first
agentic tool to assess the security of an arbitrary MCP server. MCPScanner uses
several agents to (a) automatically determine adversarial samples given an MCP
server's tools and resources; (b) search for related vulnerabilities and
remediations based on those samples; and (c) generate a security report
detailing all findings. Our work highlights serious security issues with
general-purpose agentic workflows while also providing a proactive tool to
audit MCP server safety and address detected vulnerabilities before deployment.
The described MCP server auditing tool, MCPSafetyScanner, is freely available
at: https://github.com/johnhalloran321/mcpSafetyScannerSummary
AI-Generated Summary