Компанія Adversa представила найповніший на сьогодні огляд топ‑25 уразливостей Model Context Protocol (MCP), поєднавши каталог загроз, методику їх ранжування та практичні рекомендації для команд, що будують агентні рішення на основі ШІ. Документ покликаний допомогти швидко визначати пріоритети виправлень і компенсуючих контролів у складних ІІ‑ландшафтах.
Model Context Protocol (MCP): стандарт інтеграції агентів і нова площина атаки
MCP, запропонований Anthropic у 2024 році як відкритий стандарт, описує безпечний спосіб підключення ІІ‑агентів до інструментів, даних, інших агентів і контексту. Фактично це уніфікація того, як і через що агент взаємодіє із середовищем, що робить операції відтворюваними й підзвітними. Як і будь‑яка платформа, MCP має уразливості — від витоків даних і ескалації привілеїв до RCE (віддаленого виконання коду).
Методологія Adversa: як ранжують ризики MCP
Критерії оцінювання та формула пріоритизації
Кожна уразливість описана офіційною й альтернативними назвами, оцінками впливу (від критичного до низького) та експлуатованості (від тривіальної до теоретичної), із посиланнями на першоджерела. Підсумковий бал обчислюється за формулою: 40% вплив, 30% експлуатованість, 20% поширеність, 10% складність виправлення. Такий підхід дає практичну шкалу для планування робіт із безпеки.
Лідери ризику: промпт‑інʼєкції попереду, MPMA — в кінці списку
Очолює рейтинг промпт‑інʼєкція — через високу критичність і низький поріг експлуатації. Приклад: агент, що має доступ до файлової системи чи інструментів, може отримати зловмисні інструкції, приховані в документі або веб‑сторінці, та виконати дії поза політикою (екфільтрація секретів, неконтрольовані виклики інструментів). Натомість MCP Preference Manipulation Attack (MPMA) опинилася внизу (24‑та позиція) через обмежений вплив та складність практичної реалізації.
Практичний захист MCP‑інфраструктури: від швидких перемог до zero trust
Негайні дії: валідація даних і захист інтерфейсів
Adversa радить почати з «гігієни» вводу: обовʼязкова валідація й очистка всіх вхідних даних. За їхньою оцінкою, 43% MCP‑серверів уразливі до командних інʼєкцій, тож сувора фільтрація запитів і нормалізація контенту — критично важливі. Паралельно слід увімкнути автентифікацію на всіх відкритих ендпоїнтах і закрити очевидні вектори інʼєкцій.
Багаторівневий підхід: протокол, застосунки, ІІ‑шар, інфраструктура
На рівні протоколу — TLS‑шифрування для всіх зʼєднань. На рівні застосунків — параметризовані запити до БД, безпечна обробка файлів і контроль типів контенту. В ІІ‑шарі — засоби протидії промпт‑інʼєкціям, політики керованого використання інструментів агентом і чіткі межі доступу до контексту. В інфраструктурі — принцип найменших привілеїв, централізоване журналювання та моніторинг аномалій.
Дорожня карта на 90 днів
Короткостроково: увімкнути автентифікацію та жорсткі фільтри на ендпоїнтах, провести інвентаризацію MCP‑інструментів. Середньостроково: посилити сегментацію мережі, впровадити контроль доступу за ролями й least privilege, налаштувати централізований аудит. До кінця 3‑го місяця: перепроєктувати архітектуру під модель zero trust, аби локалізувати наслідки у разі компрометації окремих компонентів чи постачальників.
Узгодження зі стандартами: OWASP, CSA, NIST
Adversa співвідносить перелік уразливостей MCP з підходами OWASP/CSA/NIST та планує долучитися до формалізації OWASP MCP Top‑10. Такий мепінг спрощує вбудовування контролів у процеси управління ризиками та комплаєнс, забезпечуючи спільну мову для розробників, SecOps і аудиторів.
Командам, що працюють із MCP