Сканирование безопасности пакетов MCP выявляет широко распространенные деструктивные возможности без подтверждения

✍️ OpenClawRadar📅 Опубликовано: 23 марта 2026 г.🔗 Source
Сканирование безопасности пакетов MCP выявляет широко распространенные деструктивные возможности без подтверждения
Ad

Исследователь безопасности просканировал 2,386 пакетов MCP (Model Context Protocol) в npm и обнаружил значительные риски безопасности в том, как ИИ-агенты взаимодействуют с внешними инструментами. Пакеты MCP позволяют Claude Code подключаться к внешним инструментам, и при установке они получают полный доступ к системе, включая оболочку, файлы, сеть и переменные окружения.

Ключевые результаты сканирования

Самое тревожное открытие: 63,5% пакетов предоставляют деструктивные операции без запроса подтверждения у человека. Эти операции включают удаление файлов, сброс баз данных и развертывание кода. Если кто-то внедрит вредоносный промпт в ответ инструмента, ИИ-агент выполнит эти деструктивные действия без запроса разрешения.

Дополнительные проблемы безопасности

  • 49% пакетов имели проблемы с безопасностью в целом
  • 402 уязвимости критической степени серьезности
  • 240 уязвимостей высокой степени серьезности
  • 122 пакета автоматически выполняют код при npm install
  • Реальные случаи включали кражу SSH-ключей, инъекцию промптов через Unicode и отложенные бэкдоры

Исследователь отмечает, что не все находки представляют собой вредоносное ПО — большинство являются «опасными возможностями без защитных механизмов». Однако 63,5% пакетов находятся «в одном шаге от реального ущерба через инъекцию промпта».

Ad

Обнаружение и реагирование

Инструмент сканирования достиг точности 99,4% при полноте 39,9% — это означает почти нулевое количество ложных срабатываний, но пока не все угрозы обнаруживаются. Вредоносные паттерны были преобразованы в правила обнаружения, и ответственное раскрытие информации было направлено затронутым сторонам.

Исследователь создал ATR (Agent Threat Rules) как открытый стандарт для обнаружения этих угроз — 61 правило обнаружения выпущено под лицензией MIT, не привязано к какому-либо конкретному инструменту. Любой может использовать эти правила для сканирования пакетов MCP.

Вы можете просканировать любой навык без установки на panguard.ai — вставьте URL GitHub и получите отчет за 3 секунды. Полный исследовательский отчет доступен по адресу panguard.ai/research/mcp-ecosystem-scan.

📖 Read the full source: r/ClaudeAI

Ad

👀 Смотрите также

mcp-scan: Сканер безопасности для конфигураций серверов MCP
Безопасность

mcp-scan: Сканер безопасности для конфигураций серверов MCP

mcp-scan проверяет конфигурации MCP-серверов на наличие проблем безопасности, включая секреты в конфигурационных файлах, известные уязвимости в пакетах, подозрительные шаблоны разрешений, векторы эксфильтрации и атаки отравления инструментов. Он автоматически обнаруживает конфигурации для Claude Desktop, Cursor, VS Code, Windsurf и 6 других AI-клиентов.

OpenClawRadar
Изоляция AI-агентов с помощью WebAssembly: нулевое доверие по умолчанию
Безопасность

Изоляция AI-агентов с помощью WebAssembly: нулевое доверие по умолчанию

Cosmonic утверждает, что традиционная изоляция (seccomp, bubblewrap) не подходит для AI-агентов из-за фоновых полномочий. Модель на основе возможностей WebAssembly предоставляет нулевые полномочия по умолчанию, требуя явного импорта для файловой системы, сети или учетных данных.

OpenClawRadar
Анализ безопасности ИИ-агентов выявляет нарушенную модель доверия и высокий уровень уязвимостей.
Безопасность

Анализ безопасности ИИ-агентов выявляет нарушенную модель доверия и высокий уровень уязвимостей.

Анализ безопасности ИИ-агентов показывает, что фундаментальная модель доверительных отношений нарушена: 49% пакетов MCP имеют проблемы с безопасностью, а косвенное внедрение достигает 36-98% успешности атак на передовые модели.

OpenClawRadar
Безопасность ИИ-агентов: от взлома до злоупотребления инструментами и инъекции промптов
Безопасность

Безопасность ИИ-агентов: от взлома до злоупотребления инструментами и инъекции промптов

ИИ-агенты, которые просматривают веб-страницы, выполняют команды и запускают рабочие процессы, сталкиваются с рисками безопасности из-за инъекции промптов и неправильного использования инструментов, когда недоверенный контент перенаправляет легитимные инструменты, такие как выполнение команд оболочки и HTTP-запросы.

OpenClawRadar