MCP وأمان وكلاء الذكاء الاصطناعي: كيف أنشأ البروتوكول سطح هجوم جديد
قام Model Context Protocol بتبسيط اتصالات وكلاء الذكاء الاصطناعي بالأدوات — لكنه أنشأ سطح هجوم جديد. يصبح كل خادم MCP نقطة ثقة، وتفتقر نماذج اللغة إلى حد…
معالج بواسطة الذكاء الاصطناعي من Habr AI؛ بتحرير Hamidun News
Model Context Protocol (MCP) جعل وكلاء الذكاء الاصطناعي معيارية: واجهة معيارية واحدة للاتصال بأي أدوات وخدمات. لكن خلف هذه الموحدة تكمن مشكلة نظامية — كل خادم MCP جديد يوسع المنطقة الموثوقة للوكيل وينشئ نقطة هجوم محتملة.
لماذا أنشأ MCP ثغرات أمنية جديدة
نماذج اللغات الكبيرة ليس لديها حد معماري بين "البيانات" و"التعليمات". كل شيء يدخل سياق النموذج قابل للتنفيذ محتملاً. لا يحل MCP هذه المشكلة؛ بل يوسعها: الآن يمكن للوكيل أن يكون لديه عشرات الأدوات المتصلة، وكل واحدة توسع سطح الهجوم.
توحيد MCP يعني أن المهاجم الذي يحصل على السيطرة على خادم واحد أو يمكنه حقن البيانات في ردوده يؤثر محتملاً على السلسلة الكاملة لإجراءات الوكيل.
ثلاثة فئات رئيسية من التهديدات في نظام MCP البيئي:
- Tool poisoning — وصف الأداة في خادم MCP يحتوي على تعليمات مخفية تغير سلوك الوكيل عند الاستدعاء
- Indirect prompt injection — التعليمات الضارة مخفية في مستند أو إدخال قاعدة بيانات أو صفحة ويب يقرأها الوكيل أثناء المهمة
- Sampling abuse — التلاعب بكيفية طلب الوكيل لاستنتاجات جديدة من النموذج، مما يسمح بتجاوز قيود موجه النظام
حتى ملف PDF "غير مؤذ" أو وصف الأداة أو سلسلة قاعدة البيانات قد تحتوي على أوامر سيقوم الوكيل بتنفيذها جنباً إلى جنب مع الأدوات الشرعية.
ما كشفته الاختبارات العملية
هذه الثغرات ليست نظرية. أجرى الباحث اختبارات على منصة اختبار MCP معيبة مكونة خصيصاً وأكد التنفيذ الفعلي للأوامر المحقونة. من بين السيناريوهات الموثقة اعتراض استدعاءات الأدوات من خلال ردود خادم MCP المصاغة بعناية وتنفيذ التعليمات المخفية من مستندات نصية تم تمريرها للوكيل كـ "بيانات".
"كل خادم MCP تثق فيه يوسع المنطقة الموثوقة لنظامك بالكامل — ليس فقط
بأدواته الخاصة، بل بكل شيء يمكنه تسليمه للوكيل كبيانات."
ماسح BarkingDog، الذي طوره المؤلف، يكتشف استدعاءات الأدوات المريبة في الوقت الفعلي — واحدة من الأدوات العملية القليلة للكشف المتاحة لفرق الأمان اليوم.
كيف تحاول الصناعة حل المشكلة
يتحرك مزودو البنية التحتية للذكاء الاصطناعي في عدة اتجاهات في نفس الوقت:
- MCP Gateways — طبقة وسيطة تصفي وتتحكم في استدعاءات الأدوات قبل وصولها للوكيل؛ تضيف بعض الحلول سجلات تدقيق كاملة للتفاعلات
- Sandboxing — عزل تنفيذ خادم MCP مع تقييد الوصول إلى نظام الملفات والشبكة وموارد النظام
- OAuth architectures — التفويض الصريح لكل أداة بحقوق وصول دنيا؛ يتلقى كل خادم MCP فقط الأذونات المطلوبة فعلاً لمهمة محددة
في الوقت الحالي، جميع هذه الحلول جزئية. المشكلة الأساسية معمارية: حتى تتعلم نماذج اللغات التمييز بين بيانات المستوى والمستوى التحكم على مستوى معالجة السياق، تظل أي بيانات واردة قابلة للتنفيذ محتملاً.
ماذا يعني هذا
أصبح MCP معيار الواقع للوكلاء الذكيين، وانتقلت مسألة أمانه من الناحية الأكاديمية إلى العملية. يجب على المطورين الذين ينشرون وكلاء مع خوادم MCP أن يتعاملوا مع كل أداة متصلة كطرف ثالث موثوق — مع التدقيق الإجباري والعزل ومبدأ أقل امتياز على كل استدعاء.
هل تريد التوقف عن قراءة الذكاء الاصطناعي والبدء باستخدامه؟
AI News هو موجز منسق لأخبار الذكاء الاصطناعي. تعلمك Hamidun Academy استخدام الذكاء الاصطناعي في عملك.
أهم ما في عالم الذكاء الاصطناعي — مرة كل أسبوع
سبع قصص مهمة فعلاً هذا الأسبوع، مختارة بعناية. بلا ضجيج ولا بيانات صحفية.
تم! تحقق من بريدك للتأكيد.