Analyse de sécurité du package MCP révèle des capacités destructives généralisées sans confirmation

Un chercheur en sécurité a analysé 2 386 packages MCP (Model Context Protocol) sur npm et a découvert des risques de sécurité significatifs dans la manière dont les agents d'IA interagissent avec des outils externes. Les packages MCP permettent à Claude Code de se connecter à des outils externes, et une fois installés, ils obtiennent un accès complet au système, y compris au shell, aux fichiers, au réseau et aux variables d'environnement.

Principales découvertes de l'analyse

La découverte la plus préoccupante : 63,5 % des packages exposent des opérations destructrices sans nécessiter de confirmation humaine. Ces opérations incluent la suppression de fichiers, l'effacement de bases de données et le déploiement de code. Si quelqu'un injecte une instruction malveillante dans une réponse d'outil, l'agent d'IA exécutera ces actions destructrices sans demander d'autorisation.

Problèmes de sécurité supplémentaires

• 49 % des packages présentaient des problèmes de sécurité au total
• 402 vulnérabilités de gravité critique
• 240 vulnérabilités de haute gravité
• 122 packages exécutent automatiquement du code lors de npm install
• Les cas réels incluaient le vol de clés SSH, l'injection d'instructions Unicode et des portes dérobées différées

Le chercheur note que toutes les découvertes ne représentent pas des logiciels malveillants—la plupart sont des "capacités dangereuses sans garde-fous". Cependant, 63,5 % des packages sont "à une injection d'instruction près de causer des dommages réels".

Détection et réponse

L'outil d'analyse a atteint une précision de 99,4 % avec un rappel de 39,9 %—ce qui signifie presque zéro fausse alerte mais ne détecte pas encore tout. Les modèles malveillants ont été convertis en règles de détection, et une divulgation responsable a été faite aux parties concernées.

Le chercheur a créé ATR (Agent Threat Rules) comme une norme ouverte pour détecter ces menaces—61 règles de détection publiées sous licence MIT, non liées à un outil spécifique. N'importe qui peut utiliser ces règles pour analyser des packages MCP.

Vous pouvez analyser n'importe quelle compétence sans rien installer sur panguard.ai—collez une URL GitHub et obtenez un rapport en 3 secondes. Le rapport de recherche complet est disponible sur panguard.ai/research/mcp-ecosystem-scan.