นักวิจัยด้านความปลอดภัยได้ค้นพบเซิร์ฟเวอร์ Model Context Protocol ( MCP ) เกือบ 2,000 เครื่องที่ทำงานบนอินเทอร์เน็ตสาธารณะโดยไม่มีการยืนยันตัวตนใดๆ การค้นพบนี้เผยให้เห็นแนวโน้มที่น่าเป็นห่วงในขณะที่เทคโนโลยีใหม่นี้กำลังได้รับการนำมาใช้ในหมู่นักพัฒนาและองค์กร
ทีมวิจัยใช้เครื่องมือสแกนพิเศษเพื่อระบุเซิร์ฟเวอร์ MCP ที่เปิดให้เข้าถึงได้จำนวน 1,862 เครื่องทั่วอินเทอร์เน็ต จากตัวอย่าง 119 เซิร์ฟเวอร์ที่ได้รับการตรวจสอบด้วยตนเอง ทุกเครื่องเดียวให้สิทธิ์เข้าถึงรายการเครื่องมือภายในโดยไม่ต้องมีการยืนยันตัวตนใดๆ ซึ่งหมายความว่าใครก็ตามที่มีความรู้ทางเทคนิคพื้นฐานสามารถเชื่อมต่อกับเซิร์ฟเวอร์เหล่านี้และดูความสามารถที่พวกเขานำเสนอได้
สถิติการค้นพบ:
- เซิร์ฟเวอร์ MCP ที่พบทั้งหมด: 1,862 เซิร์ฟเวอร์
- ตัวอย่างที่ตรวจสอบด้วยตนเอง: 119 เซิร์ฟเวอร์
- เซิร์ฟเวอร์ที่ไม่มีการยืนยันตัวตน: 119/119 (100%)
- เซิร์ฟเวอร์ที่ตรวจสอบแล้วทั้งหมดเปิดเผยรายการเครื่องมือภายใน
 |
|---|
| ส่วนติดต่อที่แสดงเครื่องมือที่มีอยู่ซึ่งเกี่ยวข้องกับเซิร์ฟเวอร์ Model Context Protocol ( MCP ) โดยเน้นปัญหาการเข้าถึงที่เกิดขึ้นจากการวิจัยด้านความปลอดภัย |
เทคโนโลยีใหม่ ปัญหาเก่า
การค้นพบนี้เน้นย้ำให้เห็นว่าเทคโนโลยีใหม่มักจะทำผิดพลาดด้านความปลอดภัยเช่นเดียวกับในอดีต การสนทนาในชุมชนเปรียบเทียบกับยุคก่อนหน้านี้เมื่อนักพัฒนาจะปรับใช้ API และฐานข้อมูลโดยไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม สถานการณ์นี้สะท้อนสิ่งที่เกิดขึ้นกับฐานข้อมูล MongoDB เมื่อหลายปีก่อน ซึ่งมีหลายพันฐานข้อมูลถูกเปิดทิ้งไว้บนอินเทอร์เน็ตโดยไม่มีการป้องกันด้วยรหัสผ่าน
เซิร์ฟเวอร์ MCP ได้รับการออกแบบมาเพื่อให้โมเดล AI เข้าถึงเครื่องมือและบริการภายนอกได้ อย่างไรก็ตาม ข้อกำหนดของโปรโตคอลไม่ได้กำหนดให้ต้องมีการยืนยันตัวตนตามค่าเริ่มต้น ทำให้เกิดการปรับใช้ที่ไม่ปลอดภัยอย่างแพร่หลาย เซิร์ฟเวอร์จำนวนมากที่ถูกค้นพบยังไม่เสถียรและมีข้อบกพร่อง ซึ่งบ่งบอกว่าถูกปรับใช้อย่างรีบเร่งโดยไม่มีการทดสอบหรือพิจารณาด้านความปลอดภัยอย่างเหมาะสม
ข้อกังวลด้านความปลอดภัย:
- ข้อกำหนด MCP ไม่จำเป็นต้องมีการยืนยันตัวตนตามค่าเริ่มต้น
- มีความเป็นไปได้ที่จะเกิดการโจมตีแบบ prompt injection
- มีความเสี่ยงในการเปิดเผยข้อมูลที่มีความละเอียดอ่อน เช่น environment variables
- เซิร์ฟเวอร์มักจะไม่เสถียรและมีข้อบกพร่อง ซึ่งบ่งชี้ถึงการปรับใช้งานอย่างเร่งรีบ
สิ่งที่เสี่ยงจริงๆ
แม้ว่าบางคนจะโต้แย้งว่าการเปิดเผยรายการเครื่องมือไม่จำเป็นต้องเป็นปัญหาด้านความปลอดภัย แต่ผลกระทบที่เกิดขึ้นลึกกว่านั้น เซิร์ฟเวอร์เหล่านี้อาจถูกใช้ประโยชน์ผ่านการโจมตีแบบ prompt injection ซึ่งผู้ใช้ที่มีเจตนาร้ายหลอกระบบ AI ให้เปิดเผยข้อมูลที่ละเอียดอ่อน เช่น ตัวแปรสภาพแวดล้อมหรือข้อมูลประจำตัวของฐานข้อมูล
ทีมวิจัยรักษาขอบเขตจริยธรรมในระหว่างการสืบสวน โดยขอเพียงรายการเครื่องมือโดยไม่ได้ดำเนินการคำสั่งใดๆ จริง อย่างไรก็ตาม ศักยภาพในการใช้ในทางที่ผิดยังคงมีนัยสำคัญ โดยเฉพาะสำหรับเซิร์ฟเวอร์ที่เชื่อมต่อกับฐานข้อมูลหรือระบบที่ละเอียดอ่อนอื่นๆ
รูปแบบที่เราเคยเห็นมาแล้ว
เหมือนปี 2010 อีกครั้ง: ผู้คนจะใส่ api.domain.com ขึ้นไปโดยไม่มี auth - เวลาที่ยอดเยี่ยมสำหรับผู้สร้าง..และคนที่มีเจตนาร้าย!
ชุมชนเทคโนโลยีรับรู้ว่านี่เป็นรูปแบบที่คุ้นเคย คลื่นเทคโนโลยีใหม่แต่ละครั้งจะนำมาซึ่งการมองข้ามด้านความปลอดภัยที่คล้ายคลึงกัน เนื่องจากนักพัฒนามุ่งเน้นไปที่ฟังก์ชันการทำงานมากกว่าความปลอดภัย ความแตกต่างของเซิร์ฟเวอร์ MCP คือถูกออกแบบมาเพื่อโต้ตอบกับโมเดล AI ซึ่งสร้างช่องทางการโจมตีใหม่ที่ไม่เคยมีอยู่กับ API แบบดั้งเดิม
แม้จะมีการค้นพบที่น่าเป็นห่วง แต่จำนวนเซิร์ฟเวอร์ที่เปิดให้เข้าถึงได้ที่ค่อนข้างต่ำบ่งบอกว่าการนำ MCP มาใช้ยังคงอยู่ในช่วงเริ่มต้น สิ่งนี้เป็นโอกาสสำหรับชุมชนในการแก้ไขข้อกังวลด้านความปลอดภัยก่อนที่จะมีการปรับใช้อย่างแพร่หลาย อย่างไรก็ตาม นี่ยังหมายความว่าองค์กรต้องระมัดระวังมากขึ้นเกี่ยวกับวิธีการใช้งานและปรับใช้เซิร์ฟเวอร์ MCP ในสภาพแวดล้อมการผลิต
การวิจัยนี้ทำหน้าที่เป็นสัญญาณเตือนที่สำคัญสำหรับนักพัฒนาที่ทำงานกับเทคโนโลยี MCP เมื่อการนำมาใช้เพิ่มขึ้น การใช้การยืนยันตัวตนและมาตรการรักษาความปลอดภัยที่เหมาะสมตั้งแต่เริ่มต้นจะเป็นสิ่งสำคัญในการป้องกันเหตุการณ์ด้านความปลอดภัยที่ร้ายแรงมากขึ้นในอนาคต
อ้างอิง: Exposing the Unseen: Mapping MCP Servers Across the Internet