Сканирование безопасности пакетов MCP выявляет широко распространенные деструктивные возможности без подтверждения

Исследователь безопасности просканировал 2,386 пакетов MCP (Model Context Protocol) в npm и обнаружил значительные риски безопасности в том, как ИИ-агенты взаимодействуют с внешними инструментами. Пакеты MCP позволяют Claude Code подключаться к внешним инструментам, и при установке они получают полный доступ к системе, включая оболочку, файлы, сеть и переменные окружения.
Ключевые результаты сканирования
Самое тревожное открытие: 63,5% пакетов предоставляют деструктивные операции без запроса подтверждения у человека. Эти операции включают удаление файлов, сброс баз данных и развертывание кода. Если кто-то внедрит вредоносный промпт в ответ инструмента, ИИ-агент выполнит эти деструктивные действия без запроса разрешения.
Дополнительные проблемы безопасности
- 49% пакетов имели проблемы с безопасностью в целом
- 402 уязвимости критической степени серьезности
- 240 уязвимостей высокой степени серьезности
- 122 пакета автоматически выполняют код при
npm install - Реальные случаи включали кражу SSH-ключей, инъекцию промптов через Unicode и отложенные бэкдоры
Исследователь отмечает, что не все находки представляют собой вредоносное ПО — большинство являются «опасными возможностями без защитных механизмов». Однако 63,5% пакетов находятся «в одном шаге от реального ущерба через инъекцию промпта».
Обнаружение и реагирование
Инструмент сканирования достиг точности 99,4% при полноте 39,9% — это означает почти нулевое количество ложных срабатываний, но пока не все угрозы обнаруживаются. Вредоносные паттерны были преобразованы в правила обнаружения, и ответственное раскрытие информации было направлено затронутым сторонам.
Исследователь создал ATR (Agent Threat Rules) как открытый стандарт для обнаружения этих угроз — 61 правило обнаружения выпущено под лицензией MIT, не привязано к какому-либо конкретному инструменту. Любой может использовать эти правила для сканирования пакетов MCP.
Вы можете просканировать любой навык без установки на panguard.ai — вставьте URL GitHub и получите отчет за 3 секунды. Полный исследовательский отчет доступен по адресу panguard.ai/research/mcp-ecosystem-scan.
📖 Read the full source: r/ClaudeAI
👀 Смотрите также

mcp-scan: Сканер безопасности для конфигураций серверов MCP
mcp-scan проверяет конфигурации MCP-серверов на наличие проблем безопасности, включая секреты в конфигурационных файлах, известные уязвимости в пакетах, подозрительные шаблоны разрешений, векторы эксфильтрации и атаки отравления инструментов. Он автоматически обнаруживает конфигурации для Claude Desktop, Cursor, VS Code, Windsurf и 6 других AI-клиентов.

Изоляция AI-агентов с помощью WebAssembly: нулевое доверие по умолчанию
Cosmonic утверждает, что традиционная изоляция (seccomp, bubblewrap) не подходит для AI-агентов из-за фоновых полномочий. Модель на основе возможностей WebAssembly предоставляет нулевые полномочия по умолчанию, требуя явного импорта для файловой системы, сети или учетных данных.

Анализ безопасности ИИ-агентов выявляет нарушенную модель доверия и высокий уровень уязвимостей.
Анализ безопасности ИИ-агентов показывает, что фундаментальная модель доверительных отношений нарушена: 49% пакетов MCP имеют проблемы с безопасностью, а косвенное внедрение достигает 36-98% успешности атак на передовые модели.

Безопасность ИИ-агентов: от взлома до злоупотребления инструментами и инъекции промптов
ИИ-агенты, которые просматривают веб-страницы, выполняют команды и запускают рабочие процессы, сталкиваются с рисками безопасности из-за инъекции промптов и неправильного использования инструментов, когда недоверенный контент перенаправляет легитимные инструменты, такие как выполнение команд оболочки и HTTP-запросы.