Analyse de sécurité du package MCP révèle des capacités destructives généralisées sans confirmation

Un chercheur en sécurité a analysé 2 386 packages MCP (Model Context Protocol) sur npm et a découvert des risques de sécurité significatifs dans la manière dont les agents d'IA interagissent avec des outils externes. Les packages MCP permettent à Claude Code de se connecter à des outils externes, et une fois installés, ils obtiennent un accès complet au système, y compris au shell, aux fichiers, au réseau et aux variables d'environnement.
Principales découvertes de l'analyse
La découverte la plus préoccupante : 63,5 % des packages exposent des opérations destructrices sans nécessiter de confirmation humaine. Ces opérations incluent la suppression de fichiers, l'effacement de bases de données et le déploiement de code. Si quelqu'un injecte une instruction malveillante dans une réponse d'outil, l'agent d'IA exécutera ces actions destructrices sans demander d'autorisation.
Problèmes de sécurité supplémentaires
- 49 % des packages présentaient des problèmes de sécurité au total
- 402 vulnérabilités de gravité critique
- 240 vulnérabilités de haute gravité
- 122 packages exécutent automatiquement du code lors de
npm install - Les cas réels incluaient le vol de clés SSH, l'injection d'instructions Unicode et des portes dérobées différées
Le chercheur note que toutes les découvertes ne représentent pas des logiciels malveillants—la plupart sont des "capacités dangereuses sans garde-fous". Cependant, 63,5 % des packages sont "à une injection d'instruction près de causer des dommages réels".
Détection et réponse
L'outil d'analyse a atteint une précision de 99,4 % avec un rappel de 39,9 %—ce qui signifie presque zéro fausse alerte mais ne détecte pas encore tout. Les modèles malveillants ont été convertis en règles de détection, et une divulgation responsable a été faite aux parties concernées.
Le chercheur a créé ATR (Agent Threat Rules) comme une norme ouverte pour détecter ces menaces—61 règles de détection publiées sous licence MIT, non liées à un outil spécifique. N'importe qui peut utiliser ces règles pour analyser des packages MCP.
Vous pouvez analyser n'importe quelle compétence sans rien installer sur panguard.ai—collez une URL GitHub et obtenez un rapport en 3 secondes. Le rapport de recherche complet est disponible sur panguard.ai/research/mcp-ecosystem-scan.
📖 Read the full source: r/ClaudeAI
👀 See Also

La fonctionnalité d'utilisation informatique d'Anthropic déclenche un verrouillage de gouvernance lors d'un test réel
Anthropic a déployé des capacités d'utilisation informatique, et lors de la mise en œuvre des contrôles de gouvernance, un seuil de risque a déclenché une posture de VERROUILLAGE qui a bloqué toutes les opérations de mutation, y compris les travaux de gouvernance de l'opérateur lui-même.

AWS rapporte qu'une attaque assistée par IA a compromis plus de 600 pare-feux FortiGate.
Des cybercriminels ont utilisé des outils d'IA générative prêts à l'emploi pour compromettre plus de 600 pare-feux FortiGate exposés sur Internet dans 55 pays lors d'une campagne d'un mois, selon AWS. Les attaquants ont scanné les interfaces de gestion exposées, testé des identifiants faibles et utilisé l'IA pour générer des playbooks d'attaque et des scripts.

Isolement des agents IA avec WebAssembly : Autorité zéro par défaut
Cosmonic soutient que le sandboxing traditionnel (seccomp, bubblewrap) échoue pour les agents IA à cause de l'autorité ambiante. Le modèle basé sur les capacités de WebAssembly accorde zéro autorité par défaut, nécessitant des importations explicites pour le système de fichiers, le réseau ou les identifiants.

Auditez les autorisations de votre code Claude : Un guide pratique pour limiter l'accès aux outils
Un utilisateur de Reddit a audité sa configuration Claude Code et a découvert des outils trop permissifs qui pouvaient modifier des fichiers .env et des configurations de production. Mesures pratiques : auditer les outils globaux par rapport aux outils par projet, vérifier les secrets dans CLAUDE.md, et limiter l'accès aux fichiers par répertoire.