L’article publié le développeur indépendent Simon Willison met en lumière une vulnérabilité critique dans le serveur MCP de GitHub qui permet l’exfiltration de données privées des utilisateurs.
Deux chercheurs, Marco Milanta et Luca Beurer-Kellner, ont découvert une exploitation qui utilise une injection de prompt pour tromper un agent LLM (Large Language Model) afin d’exfiltrer des informations privées concernant l’utilisateur du MCP. L’attaque est initiée par le dépôt d’une issue malveillante dans un dépôt public accessible au LLM.
L’attaque exploite la capacité du serveur MCP à accéder aux dépôts privés de l’utilisateur, ce qui permet à l’agent LLM de créer une nouvelle pull request révélant les noms de ces dépôts privés. Cette situation est qualifiée de “trifecta mortel” car elle combine l’accès à des données privées, l’exposition à des instructions malveillantes et la capacité d’exfiltrer des informations.
L’article souligne les risques accrus lorsque plusieurs serveurs MCP sont combinés, chacun ayant accès à différentes capacités, ce qui pourrait aggraver les problèmes de sécurité. Le texte conclut en mettant en garde les utilisateurs expérimentant avec MCP contre les attaques potentielles, soulignant que celles-ci n’ont pas besoin d’être sophistiquées pour réussir. L’article vise à informer sur cette vulnérabilité et ses implications pour la sécurité des données.
🔗 Source originale : https://simonwillison.net/2025/May/26/github-mcp-exploited/
🖴 Archive : https://web.archive.org/web/20250528115928/https://simonwillison.net/2025/May/26/github-mcp-exploited/