Công ty an ninh mạng Kaspersky vừa phát hiện tội phạm mạng có thể lợi dụng Model Context Protocol (MCP) – một giao thức kết nối AI mã nguồn mở để tiến hành các cuộc tấn công chuỗi cung ứng, dẫn đến những hậu quả nghiêm trọng như rò rỉ mật khẩu, thông tin thẻ tín dụng, ví tiền điện tử cùng các loại dữ liệu nhạy cảm khác, hoặc thậm chí còn nghiêm trọng hơn…

Theo nghiên cứu mới nhất của Kaspersky, Model Context Protocol (MCP), được Anthropic công bố mã nguồn mở vào năm 2024, là một giao thức cho phép các hệ thống AI, đặc biệt là các ứng dụng dựa trên mô hình ngôn ngữ lớn (LLM) kết nối trực tiếp với các công cụ và dịch vụ bên ngoài. 

Chẳng hạn tổ chức có thể dùng AI để cho phép LLM tìm kiếm và cập nhật tài liệu, quản lý mã nguồn, làm việc với API, hoặc truy cập dữ liệu CRM, tài chính và dữ liệu lưu trữ.

Giống như bất cứ công cụ mã nguồn mở khác, MCP có thể bị kẻ xấu lợi dụng. Trong nghiên cứu mới đây, các chuyên gia của Nhóm Ứng phó Khẩn cấp của Kaspersky (Kaspersky Emergency Response Team - GERT) đã thực hiện một kịch bản thử nghiệm, mô phỏng cách kẻ tấn công lợi dụng máy chủ MCP.  

Trong phòng thí nghiệm an ninh mạng, các chuyên gia mô phỏng một máy tính của lập trình viên bị cài đặt máy chủ MCP độc hại, từ đó có thể thu thập được nhiều loại dữ liệu nhạy cảm, bao gồm: mật khẩu lưu trong trình duyệt, thông tin thẻ tín dụng, tệp ví tiền mã hóa, API token và thông tin chứng chỉ, Cấu hình đám mây và nhiều loại dữ liệu khác

Trong cuộc tấn công mô phỏng, người dùng dễ bị đánh lừa do không nhận ra dấu hiệu bất thường. 

Mặc dù Kaspersky chưa từng ghi nhận phương thức tấn công này trong thực tế, người dùng vẫn cần cảnh giác rằng tội phạm mạng có thể lợi dụng phương thức này không chỉ để đánh cắp dữ liệu nhạy cảm, mà còn để thực hiện các hành vi nguy hiểm khác như chạy mã độc, cài đặt backdoor hay phát tán mã độc tống tiền.

Kaspersky đã sử dụng Cursor làm khách hàng AI giả định trong nghiên cứu để kết nối với máy chủ MCP - đã bị biến thành công cụ tấn công. 

Tuy nhiên, ý tưởng tấn công này hoàn toàn có thể áp dụng tương tự cho các mô hình ngôn ngữ lớn (LLM) khác. Cursor và Anthropic đã được thông báo về kết quả nghiên cứu này.

Ông Mohamed Ghobashy, Chuyên gia Ứng phó Sự cố thuộc Nhóm Ứng phó Khẩn cấp Toàn cầu của Kaspersky (GERT) nhận định: “Tấn công chuỗi cung ứng vẫn là một trong những mối đe dọa nghiêm trọng nhất trong lĩnh vực an ninh mạng hiện nay. Trong bối cảnh AI bùng nổ và cuộc đua tích hợp công cụ AI vào quy trình làm việc diễn ra mạnh mẽ, nhiều doanh nghiệp trở nên chủ quan.

Nguy cơ rò rỉ dữ liệu rất cao nếu doanh nghiệp sử dụng MCP tùy chỉnh trông có vẻ hợp pháp nhưng chưa được kiểm chứng, chẳng hạn như những công cụ được tải từ Reddit hay các diễn đàn tương tự. Điều này càng nhấn mạnh tầm quan trọng của việc duy trì cảnh giác và xây dựng hệ thống phòng thủ an ninh mạng vững chắc”.

Nghiên cứu chi tiết đã được công bố trên Securelist. Đồng thời, các chuyên gia từ Nhóm Ứng phó Khẩn Cấp Toàn cầu của Kaspersky (GERT) đưa ra những khuyến nghị giúp doanh nghiệp để giảm thiểu rủi ro trước các cuộc tấn công lợi dụng MCP.

Kiểm tra kỹ MCP trước khi cài đặt, mọi máy chủ mới cần được quét, đánh giá và phê duyệt trước khi đưa vào sử dụng thực tế. Doanh nghiệp nên duy trì một danh sách trắng (whitelist) các máy chủ đã được xác thực, nhằm dễ dàng phát hiện và kiểm soát bất kỳ yếu tố mới nào xuất hiện. 

Giới hạn quyền truy cập, vận hành máy chủ trong các container hoặc máy ảo (virtual machine), chỉ cấp quyền truy cập đến những thư mục thực sự cần thiết, đồng thời tách biệt các mạng lưới, đảm bảo môi trường phát triển không thể kết nối đến hệ thống sản xuất hoặc các hệ thống nhạy cảm khác.

Theo dõi hành vi bất thường, cần ghi lại toàn bộ câu prompt và phản hồi, giúp phát hiện kịp thời các chỉ dẫn ẩn hoặc thao tác bất thường. Đặc biệt chú ý đến những dấu hiệu khả nghi như câu lệnh SQL ngoài dự kiến hoặc luồng dữ liệu bất thường, chẳng hạn như dữ liệu bị gửi ra ngoài từ các chương trình không nằm trong quy trình hoạt động thông thường.