Một lỗ hổng nghiêm trọng trong Smithery.ai, dịch vụ lưu trữ máy chủ Model Context Protocol (MCP) phổ biến, đã phơi bày hơn 3.000 máy chủ AI và hàng nghìn khóa API cho các tác nhân tấn công tiềm năng. Lỗ hổng này cho phép truy cập trái phép vào các tệp hạ tầng nhạy cảm, làm lộ thông tin xác thực quản trị và đe dọa toàn bộ hệ sinh thái AI.

Khám phá Lỗ hổng Đột phá trong Smithery.ai

Các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng path traversal đơn giản. Lỗi này đã mở ra cánh cửa cho việc truy cập không ủy quyền vào các tệp hệ thống quan trọng.

Việc khám phá được thực hiện trong quá trình nghiên cứu các máy chủ được Smithery lưu trữ cho một dự án trước đó. Đây là một phát hiện bất ngờ với hậu quả lớn.

Chi tiết kỹ thuật về Lỗ hổng Path Traversal

Lỗ hổng bắt nguồn từ việc xác thực không đúng giá trị cấu hình dockerBuildPath trong quá trình xây dựng của registry. Điều này tạo ra một kẽ hở nghiêm trọng trong bảo mật.

Kẻ tấn công có thể thao túng tham số này để tham chiếu các vị trí bên ngoài kho lưu trữ mã máy chủ MCP. Từ đó, họ có thể truy cập hiệu quả các tệp tùy ý trên hệ thống tệp của máy xây dựng.

Kỹ thuật Khai thác và Lộ Credentials

Bằng cách đặt ngữ cảnh xây dựng thành một thư mục cha và sử dụng một Dockerfile độc hại, các nhà nghiên cứu đã trích xuất thành công các tệp nhạy cảm. Điều này bao gồm cả thông tin xác thực Docker.

Tệp .docker/config.json bị lộ chứa một mã thông báo xác thực fly.io. Mã thông báo này có quyền hạn quá mức, cấp quyền truy cập vượt xa mục đích ban đầu của nó đối với registry Docker.

Tác động Nghiêm trọng: Chiếm quyền Điều khiển và Rò rỉ Dữ liệu

Mã thông báo API fly.io bị đánh cắp đã cung cấp quyền truy cập vào một tổ chức chứa hơn 3.000 ứng dụng. Hầu hết các ứng dụng này đều tương ứng với các máy chủ MCP được lưu trữ.

Các đặc quyền quá mức của mã thông báo cho phép kẻ tấn công thực thi mã tùy ý trên bất kỳ máy chủ nào. Điều này được thực hiện thông qua API máy của fly.io.

Khả năng Remote Code Execution (RCE)

Các nhà nghiên cứu đã chứng minh khả năng này bằng cách chạy các lệnh từ xa với quyền truy cập root trên các máy bị xâm nhập. Đây là một minh chứng rõ ràng về khả năng remote code execution.

Mức độ truy cập này tạo ra một rủi ro bảo mật chuỗi cung ứng lớn. Máy chủ MCP xử lý các bí mật xác thực cho các tài nguyên từ xa, bao gồm cơ sở dữ liệu và API.

Rủi ro Chuỗi Cung ứng và Đánh cắp API Keys

Bằng cách kiểm soát các máy chủ này, kẻ tấn công có thể chặn lưu lượng mạng và trích xuất các khóa API được gửi bởi máy khách. Điều này đe dọa đến toàn bộ hệ thống.

Các nhà nghiên cứu đã ghi lại các yêu cầu thực tế của máy khách chứa thông tin xác thực nhạy cảm, như khóa API của Brave Search. Điều này cho thấy hàng nghìn khách hàng trên hàng trăm dịch vụ có thể bị xâm phạm.

Bài học từ Sự cố: Quản lý Bí mật và An ninh AI

Lỗ hổng nghiêm trọng này đã được tiết lộ một cách có trách nhiệm và nhanh chóng vá lỗi. Hiện tại không có bằng chứng nào về việc khai thác tích cực được phát hiện.

Tuy nhiên, sự cố này làm nổi bật những thách thức bảo mật quan trọng trong hạ tầng AI tập trung. Đây là một bài học đắt giá về việc bảo vệ dữ liệu.

Thách thức trong Hạ tầng AI Tập trung

MCP cho phép các ứng dụng AI kết nối với các công cụ và nguồn dữ liệu bên ngoài. Tuy nhiên, sự tập trung của các máy chủ tạo ra các mục tiêu có giá trị cao.

Tại đó, một lỗ hổng nghiêm trọng duy nhất có thể gây ra hiệu ứng dây chuyền trên toàn bộ hệ sinh thái. Điều này làm tăng rủi ro bảo mật tổng thể.

So sánh với Các Cuộc tấn công Chuỗi Cung ứng Khác

Cuộc tấn công này phản ánh các sự cố chuỗi cung ứng trước đây, chẳng hạn như vụ vi phạm Salesloft. Tại đó, các tác nhân đe dọa đã khai thác lưu trữ thông tin xác thực tập trung để xâm phạm nhiều tổ chức đồng thời.

Hầu hết các máy chủ MCP dựa vào các khóa API tĩnh, dài hạn thay vì xác thực OAuth. Điều này làm tăng tác động tiềm năng bằng cách hạn chế việc tinh chỉnh đặc quyền và kéo dài thời gian khai thác.

Hạn chế của API Keys Tĩnh và Giải pháp OAuth

Các chuyên gia bảo mật nhấn mạnh rằng các tổ chức phải đánh giá cẩn thận các mô hình lưu trữ MCP. Đồng thời, họ cần triển khai các thực hành quản lý bí mật phù hợp.

Mặc dù OAuth không phải là một biện pháp phòng thủ hoàn chỉnh chống lại sự xâm nhập chuỗi cung ứng, nhưng cấu hình đúng có thể giảm đáng kể tác động của sự cố.

Các Biện pháp Bảo mật và Tuân thủ Thực hành Tốt nhất

Khi hạ tầng AI tiếp tục phát triển, sự tập trung của thông tin xác thực nhạy cảm trên các nền tảng tập trung đòi hỏi sự cảnh giác bảo mật cao hơn. Ngoài ra, việc tuân thủ các thực hành tốt nhất của MCP để xử lý thông tin xác thực và giao thức xác thực là điều cần thiết để giảm thiểu rủi ro bảo mật.