باحثون يكشفون كيفية استخدام حقن أوامر MCP في الهجوم والدفاع معاً

كشف بحث جديد من Tenable عن تقنيات تجعل بروتوكول سياق النموذج (MCP) عرضة لهجمات حقن الأوامر (Prompt Injection)، لكنها قد تُستخدم أيضاً لبناء أدوات أمنية أو كشف الأدوات الخبيثة.

ما هو بروتوكول MCP؟

أطلقته Anthropic في نوفمبر 2024، وهو إطار عمل مصمم لربط نماذج اللغة الكبيرة (LLMs) بمصادر البيانات الخارجية والخدمات، باستخدام أدوات يتحكم فيها النموذج لتعزيز دقة وتطبيقات الذكاء الاصطناعي.

يعتمد MCP على هندسة خادم-عميل، مما يسمح لتطبيقات مثل Claude Desktop أو Cursor بالاتصال بخوادم MCP التي توفر أدوات ووظائف محددة.

المخاطر الأمنية في MCP

على الرغم من فوائده، يحمل MCP مخاطر جديدة، منها:

نطاق صلاحيات مفرط
هجمات حقن أوامر غير مباشرة
تسميم الأدوات (Tool Poisoning) – حيث تُزرع أوامر خبيثة في أوصاف الأدوات
هجمات “سحب السجادة” (Rug Pull) – حيث يتصرف الأدوات بشكل طبيعي أولاً، ثم تتحول لسلوك ضار لاحقاً

مثال عملي على الاختراق عبر Gmail

إذا تم استخدام MCP للوصول إلى Gmail، يمكن للمهاجمين إرسال رسائل تحتوي على أوامر خفية، وعند معالجتها بواسطة LLM، قد تؤدي إلى:

تحويل رسائل حساسة إلى بريد إلكتروني يسيطر عليه المهاجم
تجاوز صلاحيات المستخدم دون إعادة طلب الموافقة

استغلال MCP لأغراض دفاعية

كشف باحثو Tenable أن MCP يمكن استخدامه لـ:

إنشاء أداة تسجل جميع استدعاءات الأدوات عبر أوامر مُعدة مسبقاً.
تحويل الأداة إلى جدار حماية يمنع تشغيل أدوات غير مصرح بها.

“يمكن تضمين أوامر في أوصاف الأدوات لتسجيل معلومات مثل اسم الخادم والأداة وحتى الأوامر التي أدت إلى تشغيلها”
— بن سميث، باحث أمني في SentinelOne

بروتوكول A2A أيضاً معرض للاختراق

بالتوازي، كشفت Trustwave SpiderLabs أن بروتوكول Agent2Agent (A2A) – الذي أعلنت عنه جوجل هذا الشهر لتمكين التواصل بين وكلاء الذكاء الاصطناعي – معرض لهجمات جديدة، حيث يمكن خداع النظام لتوجيه جميع الطلبات إلى وكيل خبيث عبر التلاعب بقدراته المعلنة.

كيف يتم الاختراق عبر A2A؟

إذا تم اختراق أحد الوكلاء (مثلاً عبر ثغرة في نظام التشغيل)، يمكن للمهاجم:
- تزوير بطاقة الوكيل (Agent Card) والمبالغة في قدراته.
- جعل النظام يوجه جميع طلبات المستخدم إليه.
- سرقة البيانات أو حتى إرجاع نتائج مزيفة لتضليل المستخدم أو النموذج اللغوي.