Source: Netskope — Dans une analyse technique, Netskope explore des attaques visant le Model Context Protocol (MCP) utilisé dans les déploiements de LLM, en montrant comment des adversaires peuvent manipuler le comportement des modèles sans intervention directe de l’utilisateur.
L’étude présente deux vecteurs majeurs: injection de prompt via les définitions d’outils et cross-server tool shadowing. Ces attaques exploitent le fait que les LLM traitent les métadonnées d’outils comme des instructions de système de confiance, permettant d’induire des actions non autorisées de manière invisible pour l’utilisateur.
Sur le plan technique, l’attaque par définitions d’outils consiste à injecter des instructions malveillantes dans les champs de description d’outil (ex. commentaires HTML ou texte obfusqué), déclenchant des commandes cachées lors d’appels d’outils légitimes. Le tool shadowing inter-serveurs abuse du contexte LLM partagé: un serveur malveillant insère des instructions persistantes qui influencent ultérieurement les appels à des outils de serveurs pourtant fiables.
Les contre-mesures proposées incluent: application de la provenance des registres, vérification par signature numérique, garde-fous anti-injection à base de classifieurs ML, isolation des serveurs via partitionnement de contexte, et détection d’anomalies pour repérer des paramètres d’outils inattendus. L’approche recommandée s’inscrit dans une logique Zero Trust avec vérification cryptographique et surveillance comportementale 🔒.
TTPs observées:
- Injection dans les descriptions d’outils (métadonnées traitées comme instructions système)
- Utilisation de commentaires HTML et obfuscation pour dissimuler des commandes
- Shadowing inter-serveurs via instructions persistantes dans le contexte partagé
- Coercition du modèle à exécuter des actions lors d’appels d’outils légitimes
IOCs: Aucun indicateur technique spécifique fourni. Cet article est une publication de recherche visant à exposer des vecteurs d’attaque contre MCP et à présenter des mesures défensives associées.
🔗 Source originale : https://www.netskope.com/blog/securing-llm-superpowers-when-tools-turn-hostile-in-mcp