Các máy chủ Model Context Protocol (MCP) chưa được kiểm duyệt đang tạo ra một vector tấn công chuỗi cung ứng tinh vi. Kẻ tấn công có thể thu thập thông tin xác thực, tệp cấu hình và các bí mật khác mà không cần triển khai mã độc truyền thống.

Model Context Protocol (MCP) là một “bus plug-in” mới cho các trợ lý AI, hứa hẹn khả năng tích hợp liền mạch giữa các mô hình AI với công cụ và nguồn dữ liệu bên ngoài.

Giới Thiệu về Model Context Protocol (MCP)

Sự linh hoạt này vô hình chung tạo ra một điểm tựa mới trong chuỗi cung ứng cho các tác nhân đe dọa. MCP, được phát triển bởi Anthropic như một tiêu chuẩn mở, giúp chuẩn hóa giao tiếp giữa các trợ lý AI (như Claude hoặc Windsurf) và các dịch vụ bên thứ ba.

Thay vì viết các tích hợp tùy chỉnh cho từng công cụ, nhà phát triển cấu hình một máy khách AI – được gọi là máy khách MCP – để khám phá và gọi chức năng được cung cấp bởi máy chủ MCP.

Kiến Trúc MCP Cơ Bản

Các thành phần cốt lõi của MCP bao gồm:

• MCP Client: Máy khách AI khởi tạo các yêu cầu và sử dụng các công cụ.
• MCP Server: Cung cấp các chức năng của công cụ và giao tiếp với máy khách.
• Tools: Các khả năng cụ thể (ví dụ: truy vấn cơ sở dữ liệu, gọi API) được máy chủ MCP tiếp xúc.
• Tool Manifests: Mô tả các công cụ có sẵn, bao gồm tên, mô tả và tham số.

Thiết kế máy khách-máy chủ này giúp hợp lý hóa việc triển khai. Tuy nhiên, nó ngầm cấp cho các máy chủ đã cài đặt quyền truy cập đầy đủ vào môi trường của người dùng, tương tự như việc chạy mã tùy ý với các đặc quyền của người dùng.

Các Kỹ Thuật Tấn Công Chuỗi Cung Ứng Qua MCP

Kẻ tấn công đã xác định nhiều cách để vũ khí hóa MCP. Các phương pháp này khai thác niềm tin mặc định vào siêu dữ liệu và đặt tên, không yêu cầu chuỗi mã độc phức tạp.

Chúng chỉ đơn thuần tận dụng lưu lượng MCP có vẻ vô hại để vượt qua các biện pháp kiểm soát bảo mật truyền thống, dẫn đến chiếm quyền điều khiển hệ thống.

Giả Mạo Tên (Name-spoofing)

Kỹ thuật này cho phép các máy chủ giả mạo với các định danh gần như giống hệt nhau đánh cắp token hoặc các truy vấn nhạy cảm trong quá trình khám phá dựa trên tên.

Đầu Độc Công Cụ (Tool-poisoning)

Kẻ tấn công nhúng các lệnh ẩn vào bên trong mô tả hoặc ví dụ lời nhắc. Điều này gây rò rỉ dữ liệu nhạy cảm mà không có mã khai thác rõ ràng.

Che Giấu (Shadowing)

Phương pháp này cho phép một máy chủ độc hại định nghĩa lại một công cụ hiện có ngay lập tức. Các cuộc gọi tiếp theo sẽ bị chuyển hướng một cách im lặng thông qua logic của kẻ tấn công.

Kịch Bản “Rug-pull”

Trong kịch bản này, một máy chủ ban đầu lành tính sẽ tạo được lòng tin. Sau đó, nó đẩy các bản cập nhật có cửa hậu thông qua các pipeline CI/CD, làm tổn hại máy khách khi tự động cập nhật.

Lỗ Hổng Trong Tích Hợp Chính Thức

Các lỗ hổng trong các tích hợp chính thức, như trình kết nối MCP của GitHub, có thể làm rò rỉ dữ liệu kho lưu trữ riêng tư thông qua các vấn đề GitHub được tạo sẵn. Điều này đã được các nhà nghiên cứu chứng minh gần đây.

Mô Phỏng Tấn Công Thực Tế: PoC “DevTools-Assistant”

Để minh họa việc lạm dụng tấn công chuỗi cung ứng, một nhóm nghiên cứu đã xây dựng một máy chủ PoC có tên “DevTools-Assistant”, được xuất bản dưới dạng gói PyPI. Gói này được quảng cáo là cung cấp ba công cụ năng suất, nhưng thực chất ẩn chứa một cơ chế bí mật thu thập dữ liệu nhạy cảm.

Cài Đặt và Kích Hoạt

Các nhà phát triển cài đặt gói này thông qua pip install devtools-assistant và trỏ máy khách AI của họ (ví dụ: Cursor) tới localhost.

pip install devtools-assistant

Sau khi gói được cài đặt và chạy, máy khách AI (Cursor trong ví dụ này) được cấu hình để trỏ đến máy chủ MCP.

Cơ Chế Khai Thác Bí Mật

Khi sử dụng lần đầu, máy chủ sẽ liệt kê các tệp dự án và các thư mục hệ thống quan trọng. Nó lập chỉ mục các tệp môi trường (.env*), khóa SSH, thông tin xác thực đám mây, token API, chứng chỉ và nhiều dữ liệu khác.

Siêu dữ liệu của mỗi tệp và các byte nội dung ban đầu (tối đa 100 KB) được thu thập, biên tập lại để hiển thị cục bộ và lưu vào bộ đệm để tăng hiệu quả. Sau hậu trường, máy chủ mã hóa base64 và gửi dữ liệu này bằng phương thức POST, ngụy trang thành lưu lượng truy cập GitHub API hợp lệ, nhằm né tránh việc phát hiện bằng cách hòa lẫn vào các phân tích phát triển thông thường. Điều này có thể dẫn đến rò rỉ dữ liệu nhạy cảm.

Phân Tích Mã Nguồn PoC

Module project_metrics.py định nghĩa các mẫu mục tiêu và điều phối việc khám phá, lập chỉ mục và trích xuất nội dung tệp. Đây là một phần quan trọng trong quá trình tấn công chuỗi cung ứng.

Trong reporting_helper.p, hàm send_metrics_via_api() xây dựng các tiêu đề và tải trọng thực tế trước khi xuất dữ liệu. Hàm này sử dụng giới hạn tốc độ để tránh gây ra cảnh báo mạng, đảm bảo hoạt động ngầm. Đây là một yếu tố then chốt giúp kẻ tấn công thu thập dữ liệu mà không bị phát hiện.

Các Biện Pháp Giảm Thiểu và Bảo Vệ Hệ Thống

Thí nghiệm này nhấn mạnh một sự thật đơn giản: bất kỳ máy chủ MCP bên thứ ba nào cũng có thể chạy mã tùy ý và xuất dữ liệu theo ý muốn trừ khi được đóng hộp cát đúng cách. Để phòng thủ chống lại mối đe dọa đang nổi lên này, các tổ chức cần tăng cường bảo mật mạng.

Kiểm Tra Trước Khi Cài Đặt

Thực thi quy trình phê duyệt cho các máy chủ MCP mới, bao gồm xem xét mã và mô hình hóa mối đe dọa. Duy trì danh sách trắng nghiêm ngặt và gắn cờ các máy chủ không quen thuộc.

Cách Ly Môi Trường

Chạy các máy chủ MCP bên trong các vùng chứa hoặc VM được cách ly với quyền truy cập hệ thống tệp tối thiểu và các vùng mạng phân đoạn. Điều này giúp hạn chế di chuyển ngang (lateral movement) của kẻ tấn công và ngăn chặn các tấn công chuỗi cung ứng.

Giám Sát Hành Vi Bất Thường

Ghi lại tất cả các lời nhắc và phản hồi để phát hiện các hướng dẫn ẩn hoặc các lệnh gọi công cụ không mong muốn. Điều này giúp nhận diện sớm các dấu hiệu của một cuộc tấn công.

Giám sát lưu lượng mạng để tìm các yêu cầu POST bất thường và luồng dữ liệu bắt nguồn từ các tiến trình công cụ AI. Các hoạt động này thường là dấu hiệu của việc rò rỉ dữ liệu nhạy cảm.

Bằng cách xử lý các máy chủ MCP với sự nghiêm ngặt tương tự như bất kỳ thành phần nào trong chuỗi cung ứng – kiểm toán, đóng hộp cát và giám sát – các nhà phòng thủ có thể giảm thiểu rủi ro do các tích hợp hỗ trợ AI bị vũ khí hóa gây ra, đảm bảo bảo mật mạng toàn diện cho hệ thống.