นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ที่สำคัญในการใช้งาน Model Context Protocol ( MCP ) ของ Anthropic ซึ่งก่อให้เกิดความกังวลเกี่ยวกับการนำมาตรฐานการรวมเครื่องมือ AI นี้มาใช้อย่างรวดเร็ว การค้นพบนี้เน้นย้ำถึงรูปแบบของการมองข้ามด้านความปลอดภัยที่อาจทำให้องค์กรต่างๆ เสี่ยงต่อการรั่วไหลของข้อมูลและการบุกรุกระบบ
MCP ทำหน้าที่เป็นชั้นการสื่อสารมาตรฐานระหว่างโมเดล AI และเครื่องมือภายนอก คล้ายกับวิธีการทำงานของ REST APIs สำหรับบริการเว็บ อย่างไรก็ตาม ระยะเวลาการใช้งานที่รวดเร็วของโปรโตคอลนี้ได้นำไปสู่ช่องโหว่ด้านความปลอดภัยที่แพร่หลาย ซึ่งสะท้อนถึงข้อผิดพลาดในการปรับใช้เทคโนโลยีในอดีต
การโจมตีแบบ Tool Description Injection ก่อให้เกิดความเสี่ยงทันที
ช่องโหว่ที่น่ากังวลที่สุดเกี่ยวข้องกับการโจมตีแบบ tool description injection ซึ่งผู้ไม่หวังดีสามารถฝังคำสั่งที่เป็นอันตรายลงในคำอธิบายภาษาธรรมชาติที่โมเดล AI อ่านเพื่อทำความเข้าใจเครื่องมือที่มีอยู่ ซึ่งแตกต่างจากการโจมตีแบบ prompt injection แบบดั้งเดิมที่ต้องการข้อมูลจากผู้ใช้ ช่องโหว่นี้มีอยู่ภายในโปรโตคอลเอง เมื่อระบบ AI ประมวลผลคำอธิบายเหล่านี้ พวกมันอาจปฏิบัติตามคำสั่งที่เป็นอันตรายโดยไม่รู้ตัว ในขณะที่ดูเหมือนจะทำงานตามปกติ
การอภิปรายในชุมชนเผยให้เห็นว่าเวกเตอร์การโจมตีนี้อันตรายเป็นพิเศษเพราะผู้ใช้มักจะไม่เห็นคำอธิบายเครื่องมือ พวกเขาจะเห็นข้อความสถานะปกติเช่น กำลังตรวจสอบสภาพอากาศ... ในขณะที่ระบบ AI ดำเนินการคำสั่งที่แตกต่างไปโดยสิ้นเชิงในเบื้องหลัง การทดสอบกับการใช้งาน MCP ที่ได้รับความนิยมแสดงให้เห็นว่าส่วนใหญ่ไม่พยายามทำความสะอาดคำอธิบายเหล่านี้ ทำให้เสี่ยงต่อการถูกใช้ประโยชน์
ผลการทดสอบช่องโหว่:
- การฉีด tool description สำเร็จ: 2/4 การใช้งาน MCP ที่ทำการทดสอบ
- พบจุดเชื่อมต่อที่ไม่มีการตรวจสอบสิทธิ์: 1/10 การปรับใช้ในระบบจริง
- เครื่องมือที่มีสิทธิ์เกินจำเป็นที่ระบุได้: หลายกรณีในหลาย repositories
ช่องโหว่ในการยืนยันตัวตนทำให้ระบบเสี่ยงต่อการโจมตี
ภูมิทัศน์การยืนยันตัวตนสำหรับการใช้งาน MCP ดูเหมือนจะยังไม่ได้รับการพัฒนาอย่างเพียงพอ การปรับใช้ในระบบจริงหลายแห่งไม่มีการยืนยันตัวตนเลย หรือพึ่งพาการตรวจสอบ API key พื้นฐานที่สามารถถูกข้ามได้ง่าย ชุมชนได้สังเกตว่าแม้ข้อกำหนด MCP ใหม่จะรวมข้อกำหนด OAuth แต่การใช้งานที่มีอยู่ยังคงนำมาตรการความปลอดภัยเหล่านี้มาใช้ช้า
รูปแบบที่น่าเป็นห่วงเป็นพิเศษคือเซิร์ฟเวอร์ที่ตรวจสอบข้อมูลประจำตัวเฉพาะสำหรับคำขอบางประเภทเท่านั้น ในขณะที่ปล่อยให้คำขออื่นๆ เปิดอยู่โดยสมบูรณ์ วิธีการที่ไม่สอดคล้องกันนี้สร้างจุดบอดด้านความปลอดภัยที่ผู้โจมตีสามารถใช้ประโยชน์เพื่อเข้าถึงระบบที่ขับเคลื่อนด้วย AI โดยไม่ได้รับอนุญาต
ข้อแนะนำด้านความปลอดภัยที่สำคัญ:
- ใช้รูปแบบ OAuth Resource Server ตามที่ระบุใน MCP 2025-06-18
- ใช้ Resource Indicators (RFC 8707) เพื่อป้องกันการขโมย token
- แยกวิเคราะห์และตรวจสอบคำอธิบายเครื่องมือก่อนการประมวลผล AI
- เรียกใช้เครื่องมือด้วยสิทธิ์ขั้นต่ำที่จำเป็น
- กำหนดเวอร์ชันเครื่องมือและตรวจสอบโค้ดก่อนการนำไปใช้งาน
ความเสี่ยงในห่วงโซ่อุปทานขยายความกังวลด้านความปลอดภัย
โมเดลการจัดจำหน่ายสำหรับเครื่องมือ MCP แนะนำเวกเตอร์การโจมตีห่วงโซ่อุปทานที่อาจมีผลกระทบในวงกว้าง ซึ่งแตกต่างจากการโจมตีห่วงโซ่อุปทานแบบดั้งเดิมที่อาจขโมยข้อมูลประจำตัวหรือติดตั้งตัวขุดสกุลเงินดิจิทัล เครื่องมือ MCP ที่ถูกบุกรุกสามารถเข้าถึงประวัติการสนทนา เนื้อหาฐานข้อมูล และปลอมตัวเป็นผู้ใช้ในบริการที่เชื่อมต่อได้
สิ่งนี้สามารถใช้เพื่อค้นหา seeds/private keys ได้อย่างง่ายดายเมื่อ AI coding agents อยู่ในโหมด YOLO
ชุมชนได้สังเกตเห็นแนวปฏิบัติด้านความปลอดภัยที่ไม่สอดคล้องกันในที่เก็บเครื่องมือ MCP ที่ได้รับความนิยม โดยเครื่องมือหลายตัวขอสิทธิ์เกินจำเป็นและได้รับการตรวจสอบโค้ดเพียงเล็กน้อย สถานการณ์นี้กลายเป็นเรื่องสำคัญมากขึ้นเมื่อการนำ MCP มาใช้เร่งตัวขึ้นในภาคส่วนที่มีความละเอียดอ่อนเช่นบริการทางการเงินและการดูแลสุขภาพ
รูปแบบในอดีตเกิดขึ้นซ้ำในยุค AI
ปัญหาความปลอดภัยที่รบกวนการใช้งาน MCP สะท้อนถึงรูปแบบที่กว้างขึ้นในการปรับใช้เทคโนโลยี สมาชิกชุมชนได้เปรียบเทียบกับความล้มเหลวด้านความปลอดภัยในอดีต โดยสังเกตว่าปัญหาพื้นฐานเดียวกัน - การกำหนดค่าเริ่มต้น สิทธิ์เกินจำเป็น และการยืนยันตัวตนที่ไม่เพียงพอ - ยังคงปรากฏในเทคโนโลยีใหม่
รูปแบบนี้ขยายไปเกิน MCP ไปรวมถึงตัวอย่างในอดีตเช่นฐานข้อมูล MongoDB ที่ไม่ปลอดภัยซึ่งถูกค้นพบว่าเปิดเผยบนอินเทอร์เน็ตโดยไม่มีการป้องกันด้วยรหัสผ่าน ยุค AI ดูเหมือนจะทำผิดพลาดเหล่านี้ซ้ำกับเซิร์ฟเวอร์ MCP ซึ่งแสดงให้เห็นว่าบทเรียนจากเหตุการณ์ความปลอดภัยในอดีตยังไม่ได้รับการรวมเข้าไปในการพัฒนาโปรโตคอลใหม่อย่างเพียงพอ
หน้าต่างสำหรับการแก้ไขช่องโหว่เหล่านี้อย่างสะอาดกำลังแคบลงเมื่อการนำ MCP มาใช้เร่งตัวขึ้น องค์กรที่กำลังปรับใช้ระบบที่ใช้ MCP ควรให้ความสำคัญกับการตรวจสอบความปลอดภัยและใช้กลไกการยืนยันตัวตนที่เหมาะสมก่อนที่ปัญหาเหล่านี้จะฝังรากลึกในการปรับใช้ระบบจริงหลายพันแห่ง