Sức hút của MCP đối với các nhà phát triển GenAI là hoàn toàn xứng đáng. Giao thức Ngữ cảnh Mô hình (MCP) mang đến cho các hệ thống GenAI một cách thức liền mạch để kết nối các công cụ, mô hình và tác nhân trong thời gian thực. Điều này cho phép chúng xây dựng và điều chỉnh các quy trình làm việc một cách nhanh chóng, thường là không cần sự can thiệp của con người, mở ra nhiều khả năng mạnh mẽ mới. Tuy nhiên, nó cũng tạo ra những điểm yếu mới mà các kiến trúc truyền thống chưa từng được thiết kế để xử lý.

Phần lớn các cuộc thảo luận về bảo mật xoay quanh GenAI vẫn tập trung vào tấn công Prompt Injection, và điều này là hoàn toàn hợp lý. Nó dễ hiểu, dễ chứng minh và nhắm vào phần hệ thống mà mọi người đều thấy: mô hình. Nhưng trong môi trường dựa trên MCP, những rủi ro thực sự thường ẩn sâu hơn. Và đây là những rủi ro mà hầu hết các đội ngũ bảo mật vẫn chưa tìm kiếm.

Trong bài viết này, chúng ta sẽ xem xét kỹ hơn bốn lỗ hổng có xu hướng bị bỏ qua. Mỗi lỗ hổng có thể gây ra thiệt hại đáng kể – nhưng hầu hết đều nằm ngoài phạm vi của các biện pháp kiểm soát bảo mật truyền thống.

1. Lỗ hổng chuỗi cung ứng: Cửa hậu nguy hiểm

Một thực tế thường bị bỏ qua là máy chủ MCP cục bộ thực chất chỉ là một gói phần mềm. Giống như bất kỳ phần mềm nào được cài đặt thông qua các công cụ như npx, pip hoặc các kho lưu trữ công khai khác, nó có thể thực thi mã trong quá trình cài đặt.

Điều này có nghĩa là kẻ tấn công không cần phải chờ đợi một máy khách MCP kích hoạt một công cụ bị xâm nhập, làm sai lệch ngữ cảnh của nó hoặc thao túng tác nhân. Chúng có thể chỉ cần xuất bản một gói máy chủ MCP độc hại với mã thực thi được tích hợp sẵn trong tập lệnh cài đặt. Ngoài ra, gói phần mềm có thể tải thêm các зависимость độc hại trong quá trình cài đặt để duy trì khả năng ẩn mình và mở rộng phạm vi tiếp cận.

Nếu phiên bản giả mạo này được cài đặt, nó có thể ngay lập tức chạy mã tùy ý như một phần của quá trình thiết lập. Sau khi cài đặt, hầu hết các môi trường đều coi các gói phần mềm là đáng tin cậy. Điều đó có nghĩa là một gói máy chủ MCP bị xâm nhập có thể获得 quyền truy cập rộng rãi để thực thi mã, đọc hoặc sửa đổi dữ liệu nhạy cảm hoặc thiết lập sự tồn tại sâu hơn. Nếu không có xác thực hoặc kiểm tra tính toàn vẹn, gói phần mềm của kẻ tấn công có thể hòa trộn một cách liền mạch cho đến khi nó gây ra vấn đề.

2. Giả mạo tên công cụ: Tin tưởng nhầm công cụ

Trong nhiều thiết lập MCP, các công cụ được khám phá và gọi dựa trên tên, chữ ký hàm và mô tả của chúng. Điều này mở ra cơ hội cho Giả mạo Tên Công cụ – một kỹ thuật trong đó kẻ tấn công đăng ký một máy chủ MCP giả mạo bao gồm một công cụ độc hại sử dụng cùng tên, chữ ký hoặc mô tả với một công cụ hợp pháp từ một máy chủ MCP khác.

Khi tác nhân quyết định những gì cần chạy chủ yếu dựa trên các định danh này, sẽ không khó để đánh lừa nó. Kẻ tấn công có thể đăng ký một MCP với một công cụ giả mạo trông giống hệt trên bề mặt, ví dụ: một phiên bản giả mạo của “code-review” mô phỏng “code_reviewer” thật về tên, giao diện và hành vi.

Khi các công cụ giả mạo đã có trong hệ thống, chúng có thể khó bị phát hiện. Chúng có thể lặng lẽ quan sát cách các công cụ khác hoạt động, chặn đầu vào hoặc cung cấp các đầu ra hơi khác một chút làm ảnh hưởng đến kết quả下游. Và bởi vì chúng hòa trộn với những gì hệ thống mong đợi, chúng thường hoạt động mà không gây ra báo động.

3. Điểm đặc quyền duy nhất: Chuỗi tin cậy trở thành chuỗi rủi ro

Trong các kiến trúc MCP điển hình, máy khách MCP được cấp quyền truy cập vào một loạt các công cụ và dịch vụ. Nó xác thực thay mặt cho người dùng và được ủy quyền thực hiện các hành động trên các hệ thống đó. Mô hình truy cập trung tâm này rất hiệu quả, nhưng nó cũng tạo ra một điểm yếu quan trọng khi tác nhân trở thành một điểm đặc quyền duy nhất.

Điều này có nghĩa là nếu bất kỳ máy chủ MCP nào trong chuỗi công cụ bị xâm nhập hoặc độc hại, nó có thể khai thác lòng tin của tác nhân để thực hiện các hành động trên các dịch vụ khác. Máy chủ không cần truy cập trực tiếp vào các dịch vụ đó; nó chỉ cần thao túng tác nhân để thực hiện các yêu cầu thay mặt nó.

Ví dụ: một máy chủ MCP độc hại có thể trả về các phản hồi được tạo thủ công khiến tác nhân gọi API bên ngoài, ghi vào các kho dữ liệu nhạy cảm hoặc khởi tạo các hoạt động đặc quyền cao khác, tất cả đều dưới xác thực hợp lệ và thường là trong luồng dự kiến. Tác nhân nghĩ rằng nó đang làm theo hướng dẫn từ một công cụ, nhưng trên thực tế, nó đang được sử dụng làm ủy quyền để mở rộng quyền kiểm soát của kẻ tấn công.

Sự lạm dụng này không yêu cầu di chuyển ngang hoặc leo thang đặc quyền theo nghĩa truyền thống. Nó chỉ đơn giản là tận dụng các đặc quyền mà tác nhân đã có và lòng tin mà nó đặt vào mọi công cụ mà nó gọi.

4. Rò rỉ ngữ cảnh: Khi bộ nhớ vượt qua ranh giới

Trong quy trình làm việc MCP, máy khách (thường là tác nhân) tương tác với nhiều công cụ trong suốt một phiên hoặc cuộc trò chuyện. Các công cụ này chia sẻ một ngữ cảnh chung — thường được sử dụng để truyền thông tin hữu ích, theo dõi lịch sử hoặc điều phối các tác vụ phức tạp. Nhưng mô hình bộ nhớ dùng chung này đi kèm với một rủi ro tiềm ẩn: Rò rỉ Ngữ cảnh.

Đây là cách nó xảy ra: tác nhân gọi một công cụ, công cụ này xử lý một tác vụ xác thực và lưu trữ dữ liệu nhạy cảm (ví dụ: mã thông báo truy cập, bí mật hoặc PII) trong ngữ cảnh phiên để sử dụng sau này. Sau đó trong phiên đó, tác nhân gọi một công cụ thứ hai, công cụ này hiện có quyền truy cập vào cùng một ngữ cảnh, bao gồm cả dữ liệu mà nó không bao giờ được phép xem.

Nếu công cụ thứ hai này là độc hại, nó có thể cố ý đọc và trích xuất dữ liệu nhạy cảm đó. Nhưng ngay cả khi nó không độc hại, nó có thể vô tình ghi nhật ký hoặc làm rò rỉ thông tin, đơn giản vì nó không được thiết kế với các ranh giới ngữ cảnh nghiêm ngặt.

Rủi ro này tăng lên khi số lượng công cụ và mức độ truy cập của chúng tăng lên. Nếu không có cơ chế cách ly hoặc biên tập thích hợp, đầu ra của một công cụ sẽ trở thành đầu vào của một công cụ khác theo thiết kế hoặc do tai nạn. Càng nhiều trạng thái được chia sẻ mà tác nhân duy trì, thì khả năng thông tin nhạy cảm rò rỉ vào tay kẻ xấu càng lớn.

Kết luận: GenAI cần các biện pháp bảo vệ cấp giao thức

Những rủi ro lớn nhất trong hệ thống GenAI không phải là những rủi ro đang gây xôn xao dư luận. Chúng là những rủi ro thầm lặng – sự tin tưởng sai chỗ, bộ nhớ dùng chung kéo dài quá lâu, công cụ trông gần giống thật đến mức hợp pháp. Những điều này không phá vỡ hệ thống một cách hoàn toàn. Chúng lọt qua nó.

MCP rất mạnh mẽ, nhưng nó viết lại cách thức hoạt động của rủi ro. Các giải pháp bảo mật cũ không bắt kịp những gì xảy ra khi các tác nhân gọi nhau một cách tự do hoặc khi ngữ cảnh tồn tại lâu hơn mức cần thiết. Và hầu hết các đội ngũ vẫn chưa tập trung vào mức độ chi tiết đó.

Điều đó cần phải thay đổi. Chỉ kiểm tra mô hình hoặc quét đầu ra là không đủ. Chúng ta phải chú ý đến những gì giữ mọi thứ lại với nhau – chất kết dính, chứ không chỉ bề mặt. Đó là nơi ẩn chứa những lỗ hổng MCP thực sự.