Газета
Телеграм
Бизнес
Экономика
Финансы
Инвестиции
Технологии
Медиа
Недвижимость
Политика
Победа-80
Общество
Менеджмент
Стиль жизни
Интервью
Мнения
Фотогалереи
ВЕДЫ
Правила торговли
Идеи управления
Город
Ведомости&
Аналитика
Капитал
Страна
Промышленность
Инновации и технологии
Премия Импульс
Здоровье
Спорт
Конференции
Справочник компаний
Справочник персон
Туризм
Право
Наука
Как потратить
Устойчивое развитие
Форум
Техуспех
Бизнес-регата
Ведомости Северо-Запад
Ведомости Северо-Запад Стиль жизни
Ведомости Юг
Бизнес
Экономика
Финансы
Инвестиции
Технологии
Медиа
Недвижимость
Политика
Победа-80
Общество
Менеджмент
Стиль жизни
Интервью
Мнения
Фотогалереи
17 ноября 2025 / Справочник компаний / Финансовый университет при Правительстве Российской Федерации

Уязвимости при использовании ИИ на базе протокола MCP

Эксперты по безопасности компании JFrog в ходе проведенного исследования обнаружили угрозу «мгновенного перехвата», которая использует слабые места в том, как системы искусственного интеллекта взаимодействуют друг с другом с помощью протокола MCP (Model Context Protocol). Таким образом, подключение ИИ в такой способ создаёт новые риски безопасности, связанные не с самим ИИ, а с тем, как системы взаимосвязаны. Это означает, что ИТ-отделам компаний и их руководителям по информационной безопасности необходимо задуматься о новой проблеме: обеспечении безопасности потока данных для систем ИИ.

У моделей ИИ — будь то модели от Google, Amazon или работающие на локальных устройствах — есть одна базовая проблема: они не знают, что происходит прямо сейчас. Они знают только то, чему их обучили. Они не знают, над каким кодом работает программист или что находится в файле на компьютере. Учёные из Anthropic создали MCP, чтобы исправить это. MCP — это способ подключения ИИ к реальному миру, позволяющий ему безопасно использовать локальные данные и онлайн-сервисы. Именно он позволяет ИИ-помощнику, понимать, что означает указание на фрагмент кода и просьба его переработать.

Однако исследования JFrog показывают, что определенный способ использования MCP имеет уязвимость, позволяющую быстро совершить перехват, что может превратить этот идеальный инструмент искусственного интеллекта в огромную проблему безопасности.

Представьте, что программист просит ИИ-помощника порекомендовать стандартный инструмент Python для работы с изображениями. ИИ должен предложить Pillow, который является хорошим и популярным выбором. Но из-за уязвимости (CVE-2025-6515) в системе oatpp-mcp кто-то может проникнуть в сеанс пользователя. Он может отправить поддельный запрос, и сервер воспримет его как запрос от настоящего пользователя.

Итак, программист получает от ИИ-помощника неверную рекомендацию, предлагающую поддельный инструмент под названием the Best Image Processing Package. Это серьёзная атака на цепочку поставок программного обеспечения. Злоумышленник может использовать перехват подсказок для внедрения вредоносного кода, кражи данных или выполнения команд, при этом выдавая себя за полезный инструмент из набора инструментов программиста.

О том, как работает эта атака перехвата подсказок MCP рассказывает Емельянова Наталия Юрьевна, доцент кафедры искусственного интеллекта Финансового университета при Правительстве Российской Федерации:

Эта атака с перехватом оперативной информации нарушает способ взаимодействия системы с использованием MCP, а не безопасность самого ИИ. Проблема заключается в том, как система обрабатывает соединения с использованием событий, отправленных сервером (SSE). Когда подключается реальный пользователь, сервер присваивает ему идентификатор сеанса. Однако уязвимая функция использует в качестве идентификатора адрес сеанса в памяти компьютера. Это противоречит правилу протокола, согласно которому идентификаторы сеансов должны быть уникальными и криптографически безопасными. Это плохая идея, поскольку компьютеры часто повторно используют адреса памяти для экономии ресурсов. Злоумышленник может воспользоваться этим, быстро создавая и закрывая множество сеансов для записи этих предсказуемых идентификаторов. Позже, когда реальный пользователь подключится, он может получить один из этих повторно используемых идентификаторов, которые уже есть у злоумышленника. Получив действительный идентификатор сеанса, злоумышленник может отправлять запросы на сервер. Сервер не может отличить злоумышленника от настоящего пользователя, поэтому отправляет вредоносные ответы обратно на соединение настоящего пользователя. Даже если некоторые программы принимают только определённые ответы, злоумышленники часто могут обойти это, отправляя множество сообщений с общими номерами событий, пока одно из них не будет принято. Это позволяет злоумышленнику нарушить поведение модели, не изменяя саму модель ИИ. Любая компания, использующая MCP с включённым HTTP SSE в сети, к которой злоумышленник может получить доступ, подвергается риску.

Что следует делать руководителям служб безопасности для решения такой проблемы рассказывает Коротеев Михаил Викторович, заведующий кафедрой искусственного интеллекта Финансового университета при Правительстве Российской Федерации:

Обнаружение этой атаки с перехватом оперативной информации MCP — серьёзное предупреждение для всех руководителей технических служб, особенно руководителей служб информационной безопасности и технических директоров, которые разрабатывают или используют ИИ-помощников. По мере того, как ИИ всё больше проникает в наши рабочие процессы благодаря таким протоколам, как MCP, он также создаёт новые риски. Обеспечение безопасности области вокруг ИИ теперь является важнейшим приоритетом.

Несмотря на то, что эта конкретная CVE затрагивает одну систему, идея быстрого перехвата безопасности является общей. Чтобы защититься от этой и подобных атак, руководителям необходимо установить новые правила для своих систем искусственного интеллекта.

Во-первых, необходимо убедиться, что все службы ИИ используют безопасное управление сеансами. Командам разработчиков необходимо убедиться, что серверы создают идентификаторы сеансов с помощью надежных генераторов случайных чисел. Это должно быть обязательным пунктом в любом контрольном списке безопасности для программ ИИ. Использование предсказуемых идентификаторов, таких как адреса памяти, недопустимо.

Во-вторых, необходимо укрепить защиту на стороне пользователя. Клиентские программы должны быть спроектированы так, чтобы отклонять любые события, идентификаторы и типы которых не соответствуют ожидаемым. Простые, увеличивающиеся идентификаторы событий подвержены риску распыления атак и должны быть заменены непредсказуемыми идентификаторами, которые не конфликтуют друг с другом.

Также необходимо использовать принципы нулевого доверия для протоколов ИИ. Службам безопасности необходимо проверить всю конфигурацию ИИ, от базовой модели до протоколов и промежуточного программного обеспечения, связывающего его с данными. Эти каналы требуют строгого разделения и истечения сеансов, подобно управлению сеансами в веб-приложениях.

Эта атака с перехватом сеанса MCP — прекрасный пример того, как известная проблема веб-приложений, перехват сеанса, проявляется в новом и опасном виде в сфере искусственного интеллекта. Обеспечение безопасности этих новых инструментов искусственного интеллекта подразумевает применение надежных базовых мер безопасности для предотвращения атак на уровне протокола.

Архив
e-mail: pressa@fa.ru
Оригинал пресс-релиза

Другие пресс-релизы