Cảnh báo nguy cơ tấn công mới, lợi dụng giao thức kết nối AI mã nguồn mở

Model Context Protocol (MCP) – một giao thức kết nối AI mã nguồn mở, được Anthropic công bố năm 2024 - cho phép các mô hình ngôn ngữ lớn (LLM) kết nối trực tiếp với công cụ và dịch vụ bên ngoài như tìm kiếm, quản lý mã nguồn, truy cập API, dữ liệu CRM, tài chính hay đám mây. Tuy nhiên, giống như bất kỳ công cụ mã nguồn mở nào, MCP có thể bị khai thác cho mục đích xấu.

Trong phòng thí nghiệm, Nhóm Ứng phó Khẩn cấp của Kaspersky (GERT) đã mô phỏng một kịch bản máy chủ MCP độc hại cài trên máy tính lập trình viên, qua đó thu thập được mật khẩu, thẻ tín dụng, ví tiền mã hóa, API token, cấu hình đám mây cùng nhiều dữ liệu khác. Người dùng dễ bị đánh lừa vì không nhận ra dấu hiệu bất thường. Dù Kaspersky chưa ghi nhận vụ việc thực tế nào, nguy cơ này hoàn toàn khả thi, không chỉ để đánh cắp dữ liệu mà còn để cài backdoor, phát tán mã độc hoặc tống tiền.

Trong nghiên cứu, Kaspersky dùng Cursor như khách hàng AI giả định kết nối với MCP bị biến thành công cụ tấn công, song phương thức này có thể áp dụng với bất kỳ LLM nào. Cursor và Anthropic đã được thông báo.

Ông Mohamed Ghobashy, Chuyên gia Ứng phó Sự cố thuộc Nhóm Ứng phó Khẩn cấp Toàn cầu của Kaspersky (GERT), nhận định: "Tấn công chuỗi cung ứng vẫn là một trong những mối đe dọa nghiêm trọng nhất hiện nay. Trong bối cảnh AI được tích hợp mạnh mẽ vào quy trình làm việc, doanh nghiệp dễ chủ quan khi sử dụng MCP tùy chỉnh chưa kiểm chứng, tải về từ các diễn đàn. Điều này làm tăng nguy cơ rò rỉ dữ liệu và cho thấy sự cần thiết của việc xây dựng hệ thống phòng thủ vững chắc".

Trong Sách trắng mới, Kaspersky phân tích chi tiết kỹ thuật tấn công cùng biện pháp phòng ngừa. Báo cáo đầy đủ đã được công bố trên Securelist. Đồng thời, GERT đưa ra một số khuyến nghị:

Thứ nhất, cần kiểm tra kỹ mọi máy chủ MCP trước khi sử dụng, đảm bảo được quét và phê duyệt, đồng thời duy trì danh sách trắng các máy chủ đã xác thực.

Thứ hai, giới hạn quyền truy cập bằng cách vận hành MCP trong container hoặc máy ảo, chỉ cấp quyền với thư mục cần thiết, tách biệt môi trường phát triển và sản xuất để ngăn rủi ro lan rộng.

Thứ ba, theo dõi hành vi bất thường bằng cách ghi lại toàn bộ prompt và phản hồi, phát hiện chỉ dẫn ẩn hoặc thao tác lạ như lệnh SQL không mong đợi hay dữ liệu bị gửi ra ngoài bất hợp lý.

Bên cạnh đó, doanh nghiệp nên triển khai các dịch vụ an ninh của Kaspersky như Managed Detection and Response (MDR) hoặc Incident Response, nhằm bảo vệ liên tục, phát hiện và điều tra sự cố, hỗ trợ cả những đơn vị thiếu nhân sự chuyên trách.

Theo Kaspersky, trong kỷ nguyên AI, việc duy trì cảnh giác, kiểm soát nghiêm ngặt công cụ mới và kết hợp giải pháp bảo mật toàn diện sẽ là chìa khóa để doanh nghiệp tự bảo vệ mình trước những mối đe dọa tấn công chuỗi cung ứng đang ngày càng tinh vi.