Сканирование безопасности пакетов MCP выявляет широко распространенные деструктивные возможности без подтверждения
Исследователь безопасности просканировал 2,386 пакетов MCP (Model Context Protocol) в npm и обнаружил значительные риски безопасности в том, как ИИ-агенты взаимодействуют с внешними инструментами. Пакеты MCP позволяют Claude Code подключаться к внешним инструментам, и при установке они получают полный доступ к системе, включая оболочку, файлы, сеть и переменные окружения.
Ключевые результаты сканирования
Самое тревожное открытие: 63,5% пакетов предоставляют деструктивные операции без запроса подтверждения у человека. Эти операции включают удаление файлов, сброс баз данных и развертывание кода. Если кто-то внедрит вредоносный промпт в ответ инструмента, ИИ-агент выполнит эти деструктивные действия без запроса разрешения.
Дополнительные проблемы безопасности
- 49% пакетов имели проблемы с безопасностью в целом
- 402 уязвимости критической степени серьезности
- 240 уязвимостей высокой степени серьезности
- 122 пакета автоматически выполняют код при
npm install - Реальные случаи включали кражу SSH-ключей, инъекцию промптов через Unicode и отложенные бэкдоры
Исследователь отмечает, что не все находки представляют собой вредоносное ПО — большинство являются «опасными возможностями без защитных механизмов». Однако 63,5% пакетов находятся «в одном шаге от реального ущерба через инъекцию промпта».
Обнаружение и реагирование
Инструмент сканирования достиг точности 99,4% при полноте 39,9% — это означает почти нулевое количество ложных срабатываний, но пока не все угрозы обнаруживаются. Вредоносные паттерны были преобразованы в правила обнаружения, и ответственное раскрытие информации было направлено затронутым сторонам.
Исследователь создал ATR (Agent Threat Rules) как открытый стандарт для обнаружения этих угроз — 61 правило обнаружения выпущено под лицензией MIT, не привязано к какому-либо конкретному инструменту. Любой может использовать эти правила для сканирования пакетов MCP.
Вы можете просканировать любой навык без установки на panguard.ai — вставьте URL GitHub и получите отчет за 3 секунды. Полный исследовательский отчет доступен по адресу panguard.ai/research/mcp-ecosystem-scan.
📖 Read the full source: r/ClaudeAI
👀 Смотрите также
pi-governance: управление доступом на основе ролей (RBAC), защита от утечек данных (DLP) и аудит журналов для кодирующих агентов OpenClaw
pi-governance — это плагин, который располагается между ИИ-агентами для программирования и вашей системой, классифицируя вызовы инструментов и блокируя рискованные операции. Он обеспечивает блокировку bash-команд, сканирование DLP на наличие секретов и PII, управление доступом на основе ролей и структурированное аудит-логирование без необходимости настройки.
Защита инфраструктуры OpenClaw с помощью прокси-сервера Pomerium, осознающего идентификацию.
Используйте Pomerium в качестве прокси-сервера с учетом идентификации для нулевой доверительной аутентификации для обеспечения доступа к серверу OpenClaw.
Кейлгард: Открытый сканер безопасности для экземпляров OpenClaw
Caelguard — это сканер безопасности с открытым исходным кодом, созданный для OpenClaw, который выполняет 22 проверки вашего экземпляра, включая изоляцию Docker, ограничение разрешений инструментов и проверку цепочки поставок навыков. Он выставляет оценку из 140 баллов с буквенным обозначением и предоставляет конкретные шаги по устранению проблем.
Выпущен справочник по управлению атакующей поверхностью с открытым исходным кодом
Разработчик опубликовал открытый чит-лист по управлению атакуемой поверхностью, который начинался как личные заметки и превратился в структурированное руководство. Проект сосредоточен на практической реализации ASM, а не на теоретических концепциях.