Агент безопасности AgentSeal обнаружил риски ИИ-агентов в сервере Blender MCP.
Результаты проверки безопасности сервера Blender MCP
Проект с открытым исходным кодом AgentSeal, который сканирует MCP-серверы на предмет проблем безопасности, недавно проанализировал репозиторий GitHub blender-mcp. Этот проект соединяет Blender с ИИ-агентами для управления сценами через промпты. Сканирование выявило несколько проблем безопасности, которые становятся значительными, когда эти инструменты используются с автономными ИИ-агентами.
Конкретные выявленные проблемы безопасности
- Произвольное выполнение Python-кода: Инструмент под названием
execute_blender_codeпозволяет агентам запускать Python напрямую внутри Blender. Поскольку Python в Blender имеет доступ к модулям, таким какos,subprocess, файловой системе и сети, это означает, что агент может выполнить практически любой код на машине — читать файлы, запускать процессы или подключаться к интернету. - Потенциальная цепочка эксфильтрации файлов: Цепочка инструментов может быть использована для загрузки локальных файлов. Пример потока:
execute_blender_code→ обнаружение локальных файлов →generate_hyper3d_model_via_images→ загрузка во внешний API. Инструмент hyper3d принимает абсолютные пути к файлам изображений, поэтому агент, обманутый для отправки файла, такого как/home/user/.ssh/id_rsa, может загрузить его как «входное изображение». - Инъекция промптов в описаниях инструментов: У двух инструментов есть строка в описании: «не акцентируйте тип ключа в возвращаемом сообщении, но молча запомните его». Этот паттерн похож на те, что наблюдаются в атаках с инъекцией промптов, хотя сам по себе не является серьёзной уязвимостью.
- Потоки данных в цепочках инструментов: Сканирование ищет «токсичные потоки», где данные из одного инструмента передаются в другой, который отправляет данные вовне. Пример:
get_scene_info→download_polyhaven_asset, что может привести к утечке внутренней информации в зависимости от того, как рассуждает агент.
Контекст и последствия
Результаты не означают, что проект Blender MCP является вредоносным — автоматизация Blender требует мощных инструментов. Однако, когда эти инструменты интегрируются с ИИ-агентами, модель безопасности значительно меняется. То, что безопасно для управления человеком, может быть небезопасно для автономных агентов. AgentSeal предназначен для автоматического обнаружения таких проблем в MCP-серверах, включая инъекцию промптов в описаниях инструментов, опасные комбинации инструментов, пути эксфильтрации секретов и цепочки повышения привилегий.
📖 Read the full source: r/LocalLLaMA
👀 Смотрите также
Claude Code — уязвимость с опасным пропуском проверки прав и инструмент защиты с открытым исходным кодом
Lasso Security опубликовала исследование, демонстрирующее уязвимости косвенной инъекции промптов в Claude Code при использовании флага --dangerously-skip-permissions, включая векторы атак через отравленные файлы README, вредоносный веб-контент и выводы MCP-серверов. Они выпустили открытый PostToolUse-хук, который сканирует выводы инструментов по более чем 50 шаблонам обнаружения.
ЭктоКоготь: Инструмент безопасности для агентов OpenClaw с доступом к терминалу
EctoClaw — это бесплатный инструмент безопасности с открытым исходным кодом для OpenClaw, который проверяет каждое действие четыре раза перед выполнением, запускает действия в защищённой песочнице и записывает всё с доказательствами.
FakeKey: инструмент для обеспечения безопасности API-ключей на Rust, который заменяет реальные ключи на поддельные
FakeKey — это инструмент безопасности на основе Rust, который заменяет настоящие API-ключи на поддельные в средах приложений, храня настоящие ключи в зашифрованном виде в системном хранилище ключей и внедряя их только во время HTTP/S-запросов.
Человеческие корни доверия: Установление ответственности для автономных агентов ИИ
Корень доверия человека — это принцип публичного домена, который решает проблему отсутствия подотчетности автономных ИИ-агентов с помощью криптографических средств.