นักวิจัยด้านความปลอดภัยจาก Veradocs ได้ค้นพบช่องโหว่ร้ายแรงใน Model Context Protocol ( MCP ) ที่ทำให้เซิร์ฟเวอร์ที่เป็นอันตรายสามารถเรียกใช้โค้ดตามต้องการบนระบบของผู้ใช้ได้ ช่องโหว่เหล่านี้ส่งผลกระทบต่อเครื่องมือพัฒนา AI ยอดนิยม รวมถึง Claude Code , Gemini CLI และแอปพลิเคชันอื่นๆ ที่เปิดใช้งาน MCP ทำให้เกิดความกังวลอย่างจริงจังเกี่ยวกับความปลอดภัยของการรวมเครื่องมือ AI
MCP เป็นโปรโตคอลที่ช่วยให้ระบบ AI สามารถโต้ตอบกับแหล่งข้อมูลและเครื่องมือภายนอกได้ แม้จะออกแบบมาเพื่อเพิ่มความสามารถของ AI แต่การค้นพบล่าสุดแสดงให้เห็นว่าการเชื่อมต่อกับเซิร์ฟเวอร์ MCP ที่ไม่น่าเชื่อถือสามารถเป็นอันตรายต่อระบบทั้งหมดผ่านการข้ามการยืนยันตัวตนและความล้มเหลวในการตรวจสอบข้อมูลนำเข้า
แพลตฟอร์มที่ได้รับผลกระทบ:
- Claude Code (Anthropic)
- Gemini CLI (Google)
- CloudFront library
- MCP Inspector
- การใช้งาน ChatGPT หลากหลายรูปแบบ
ปัญหาความปลอดภัยหลัก
ช่องโหว่เหล่านี้เกิดจากความล้มเหลวด้านความปลอดภัยหลายชั้น นักวิจัยพบว่าการใช้งาน MCP หลายแห่งไม่สามารถตรวจสอบการยืนยันตัวตนจากเซิร์ฟเวอร์ MCP อย่างเหมาะสม ทำให้ผู้ไม่หวังดีสามารถข้ามการควบคุมความปลอดภัยได้ ห่วงโซ่การโจมตีมักจะเกี่ยวข้องกับเซิร์ฟเวอร์ MCP ที่ถูกบุกรุกหรือเป็นอันตรายที่ใช้ประโยชน์จากช่องโหว่ฝั่งไคลเอนต์เพื่อเข้าถึงระบบ
ช่องโหว่ร้ายแรงหนึ่งเกี่ยวข้องกับช่องโหว่ Cross-Site Scripting ( XSS ) ในไลบรารี CloudFront ที่ใช้โดยไคลเอนต์ MCP ต่างๆ การจัดการการดำเนินการ substring ที่ไม่เหมาะสมของไลบรารีทำให้ผู้โจมตีสามารถแทรกโค้ด JavaScript ที่เป็นอันตรายซึ่งสามารถหลบหนีข้อจำกัดด้านความปลอดภัยและเรียกใช้คำสั่งตามต้องการบนระบบโฮสต์ได้
การถกเถียงของชุมชนเกี่ยวกับการประเมินความเสี่ยง
การเปิดเผยช่องโหว่ด้านความปลอดภัยได้จุดประกายการถกเถียงอย่างเข้มข้นในชุมชนนักพัฒนาเกี่ยวกับลักษณะที่แท้จริงของความเสี่ยงเหล่านี้ บางคนโต้แย้งว่าเซิร์ฟเวอร์ MCP ควรได้รับการปฏิบัติเหมือนกับการพึ่งพาภายนอกอื่นๆ เช่นเดียวกับแพ็คเกจ npm หรือส่วนขยายเบราว์เซอร์ ซึ่งผู้ใช้โดยธรรมชาติจะต้องรับความเสี่ยงบางอย่างเมื่อเชื่อมต่อกับแหล่งที่ไม่น่าเชื่อถือ
เซิร์ฟเวอร์ MCP มีความคล้ายคลึงกับแพ็คเกจ PyPI ที่คุณติดตั้งด้วย pip โมดูล npm ที่คุณเพิ่มในโปรเจ็กต์ของคุณ หรือส่วนขยาย VSCode ไม่มีใครจะโต้แย้งว่า pip มีปัญหาพื้นฐานเพราะการรัน pip install malicious-package สามารถเป็นอันตรายต่อระบบของคุณได้
อย่างไรก็ตาม คนอื่นๆ โต้แย้งว่าไคลเอนต์ MCP ควรให้การแยกแยะที่ดีกว่า เช่นเดียวกับที่เว็บเบราว์เซอร์ปกป้องผู้ใช้จากเว็บไซต์ที่เป็นอันตราย การใช้งานปัจจุบันนำเสนอเซิร์ฟเวอร์ MCP ในรูปแบบคล้ายตลาดกลาง ทำให้ผู้ใช้เชื่อมต่อกับแหล่งที่อาจเป็นอันตรายได้ง่ายโดยไม่มีการตรวจสอบที่เหมาะสม
 |
|---|
| การแจ้งเตือนระบุการใช้ประโยชน์จากช่องโหว่ Cross-Site Scripting ( XSS ) ซึ่งแสดงให้เห็นความเสี่ยงของการเชื่อมต่อกับเซิร์ฟเวอร์ Model Context Protocol ( MCP ) ที่ไม่น่าเชื่อถือ |
การตอบสนองของอุตสาหกรรมและการแก้ไข
บริษัทเทคโนโลยีใหญ่ๆ ตอบสนองอย่างรวดเร็วต่อรายงานช่องโหว่ Anthropic , Google และ Cloudflare แต่ละแห่งใช้วิธีการที่แตกต่างกันในการแก้ไขปัญหาความปลอดภัย Cloudflare แนะนำการตรวจสอบสคริปต์ในการใช้งาน bugsnag ของพวกเขา ในขณะที่ Anthropic อัปเดต Claude Code ด้วยกลไกการยืนยันตัวตนที่เพิ่มขึ้น
การแก้ไขของ Google สำหรับ Gemini CLI มุ่งเน้นไปที่การหลบหนีเครื่องหมายอัญประกาศเดี่ยวในคำสั่ง PowerShell แม้ว่านักวิจัยบางคนจะวิพากษ์วิจารณ์ว่านี่เป็นการแก้ไขที่น้อยที่สุด วิธีการที่แตกต่างกันเหล่านี้เน้นย้ำถึงความซับซ้อนของการรักษาความปลอดภัยการใช้งาน MCP ในแพลตฟอร์มและกรณีการใช้งานที่แตกต่างกัน
การจ่ายเงินรางวัล Bug Bounty:
- Anthropic Claude Code: $23,322 USD
- Anthropic MCP: $12,222 USD
- Cloudflare: $99,233 USD (ผลกระทบต่อความพร้อมใช้งาน)
- Google Gemini CLI: แก้ไขแล้วในฐานะรายการซ้ำ
ผลกระทบที่กว้างขึ้นสำหรับความปลอดภัย AI
ช่องโหว่ MCP เปิดเผยความกังวลที่ลึกซึ้งยิ่งขึ้นเกี่ยวกับความเร็วในการพัฒนาอย่างรวดเร็วในอุตสาหกรรม AI นักพัฒนาหลายคนสังเกตว่าคุณภาพโค้ดจากบริษัท AI มักจะดูเร่งรีบ ทำให้นึกถึงความคิดแบบ move fast, break stuff ที่ได้ก่อให้เกิดปัญหาความปลอดภัยในภาคเทคโนโลยีอื่นๆ
เหตุการณ์นี้ยังทำให้เกิดคำถามเกี่ยวกับสถาปัตยกรรมพื้นฐานของการรวมเครื่องมือ AI ผู้เชี่ยวชาญบางคนโต้แย้งว่าวิธีการปัจจุบันในการโหลดการตอบสนองเครื่องมือภายนอกโดยตรงเข้าสู่บริบท AI สร้างความเสี่ยงด้านความปลอดภัยโดยธรรมชาติที่อาจยากต่อการแก้ไขอย่างสมบูรณ์
แม้จะมีความกังวลด้านความปลอดภัย ผู้สนับสนุนโต้แย้งว่า MCP เป็นขั้นตอนสำคัญสู่การทำงานร่วมกันของ AI แบบสากล คุณสมบัติการเจรจาความสามารถของโปรโตคอลมีศักยภาพอย่างมากสำหรับการรวมระบบ AI แม้ว่าการใช้งานปัจจุบันจะต้องการการปรับปรุงความปลอดภัย
นักวิจัยได้รับการจ่ายเงิน bug bounty ตั้งแต่ 12,222 ดอลลาร์สหรัฐ ถึง 23,322 ดอลลาร์สหรัฐ จากบริษัทต่างๆ แม้ว่าบางคนในชุมชนจะตั้งคำถามว่าจำนวนเงินเหล่านี้สะท้อนถึงความรุนแรงของช่องโหว่การเรียกใช้โค้ดระยะไกลอย่างเพียงพอหรือไม่
MCP (Model Context Protocol): โปรโตคอลการสื่อสารที่ช่วยให้ระบบ AI สามารถโต้ตอบกับเครื่องมือและแหล่งข้อมูลภายนอกได้
XSS (Cross-Site Scripting): ช่องโหว่ด้านความปลอดภัยที่ช่วยให้ผู้โจมตีสามารถแทรกสคริปต์ที่เป็นอันตรายเข้าไปในเว็บแอปพลิเคชันได้
อ้างอิง: From MCP to Shell