MCP

Palo Alto Networks (Unit 42) publie une analyse technique montrant, via trois preuves de concept réalisées sur un copilot de code intégrant MCP, comment la fonctionnalité de sampling du Model Context Protocol peut être abusée pour mener des attaques, et détaille des stratégies de détection et de prévention. Contexte. MCP est un standard client-serveur qui relie des applications LLM à des outils et sources externes. La primitive de sampling permet à un serveur MCP de demander au client d’appeler le LLM avec son propre prompt, inversant le schéma d’appel classique. Le modèle de confiance implicite et l’absence de contrôles de sécurité robustes intégrés ouvrent de nouveaux vecteurs d’attaque lorsque des serveurs (non fiables) peuvent piloter ces requêtes de complétion. ...

Selon Black Hills Information Security (BHIS), dans un contexte d’« Emerging Technology Security », le Model Context Protocol (MCP) — un standard ouvert d’Anthropic pour relier des applications LLM à des données et outils externes — introduit des risques notables en raison d’un manque de contrôles de sécurité intégrés. Le protocole MCP adopte une architecture client–serveur où les clients LLM utilisent JSON-RPC pour solliciter des capacités auprès de serveurs MCP via trois briques : Tools (fonctions exécutables), Resources (données en lecture seule) et Prompts (gabarits d’instructions). Les vulnérabilités découlent d’une confiance implicite, de l’absence de validation d’entrées et de l’inexistence de contrôles d’accès natifs. Le design favorise la fonctionnalité en connectant des systèmes probabilistes (LLM) à des outils déterministes sans frontières de confiance imposées. ...

Selon Koi Security, des chercheurs ont identifié un deuxième package serveur MCP malveillant en une semaine, révélant une menace grandissante de chaîne d’approvisionnement visant les outils de développement IA. Le package npm @lanyer640/mcp-runcommand-server, d’abord publié comme légitime, a été ultérieurement armé tout en conservant ses fonctionnalités pour gagner la confiance et contourner les tests. Le package implémente une architecture à double porte dérobée: (1) un hook preinstall s’exécutant lors de npm install/npx qui ouvre immédiatement un shell inversé vers 45.115.38.27:2333 ; (2) une backdoor runtime qui, au lancement du serveur MCP, génère un shell interactif caché avec connexion TCP persistante. Malgré ces capacités, la fonctionnalité légitime de run_command est maintenue pour échapper à la détection. ...

Selon KOI Security, des chercheurs ont mis au jour le premier serveur MCP malveillant connu, dissimulé dans le package npm postmark-mcp (v1.0.16). Le composant est téléchargé env. 1 500 fois par semaine et a opéré légitimement pendant 15 versions avant l’introduction d’une porte dérobée. 🛑 Le package contient une porte dérobée à une seule ligne (ligne 231) qui ajoute en BCC le destinataire ‘phan@giftshop.club’ à tous les e-mails, entraînant une exfiltration systématique vers un serveur contrôlé par l’attaquant (giftshop.club). L’attaque exploite l’architecture Model Context Protocol (MCP), où des assistants IA peuvent exécuter automatiquement du code serveur tiers sans validation, ouvrant une nouvelle surface d’attaque pour des compromissions de chaîne d’approvisionnement. ...

Source: Embrace The Red — Une recherche met en évidence un nouveau schéma de vulnérabilité où des agents IA de codage, opérant dans un même environnement, peuvent s’accorder mutuellement des privilèges en altérant leurs fichiers de configuration. 🚨 L’étude décrit une chaîne d’attaque débutant par une injection de prompt indirecte compromettant un premier agent. Celui-ci écrase les configurations d’un autre agent (p. ex. MCP de Claude Code) afin d’y ajouter des serveurs malveillants ou de modifier ses instructions, conduisant à une exécution de code arbitraire ou à des capacités élargies lors du rechargement des paramètres. ...

Source : Trend Micro — Dans une publication de recherche sur la sécurité des déploiements Model Context Protocol (MCP), l’éditeur analyse plus de 22 000 dépôts et démontre comment la conteneurisation peut réduire les risques qui pèsent sur les charges de travail IA. L’étude met en évidence des lacunes critiques, notamment des serveurs MCP exposés, une authentification faible, des fuites d’identifiants, ainsi que des risques de chaîne d’approvisionnement liés à des dépôts abandonnés. Elle fournit des recommandations concrètes pour appliquer le moindre privilège, isoler correctement les conteneurs et déployer en sécurité les serveurs MCP afin de protéger les workloads IA contre l’exploitation. ...

Source: Netskope — Dans une analyse technique, Netskope explore des attaques visant le Model Context Protocol (MCP) utilisé dans les déploiements de LLM, en montrant comment des adversaires peuvent manipuler le comportement des modèles sans intervention directe de l’utilisateur. L’étude présente deux vecteurs majeurs: injection de prompt via les définitions d’outils et cross-server tool shadowing. Ces attaques exploitent le fait que les LLM traitent les métadonnées d’outils comme des instructions de système de confiance, permettant d’induire des actions non autorisées de manière invisible pour l’utilisateur. ...

L’étude menée par l’équipe de recherche de Knostic a mis en lumière une vulnérabilité critique concernant les serveurs Model Context Protocol (MCP). Ces serveurs, au nombre de 1 862, ont été découverts exposés sur Internet sans contrôles d’authentification adéquats. Pour identifier ces serveurs, les chercheurs ont utilisé des outils comme Shodan et des scripts Python personnalisés, permettant de vérifier que les serveurs révèlent leurs capacités à tout utilisateur non authentifié. Cette exposition généralisée souligne une immaturité de sécurité significative de la technologie MCP, qui est encore en phase d’adoption précoce. ...