Bởi (MobileWorld.vn) – Kaspersky vừa phát hiện rằng tội phạm mạng có thể lợi dụng Model Context Protocol (MCP) – một giao thức kết nối AI mã nguồn mở để tiến hành các cuộc tấn công chuỗi cung ứng, dẫn đến những hậu quả nghiêm trọng như rò rỉ mật khẩu, thông tin thẻ tín dụng, ví tiền điện tử cùng các loại dữ liệu nhạy cảm khác, hoặc thậm chí còn nghiêm trọng hơn.
Theo nghiên cứu mới nhất của Kaspersky, các chuyên gia đã phân tích phương thức tấn công của tội phạm mạng và đưa ra các khuyến nghị nhằm giúp doanh nghiệp giảm thiểu nguy cơ khi đang sử dụng các công cụ AI trong quy trình làm việc.
Model Context Protocol (MCP), được Anthropic công bố mã nguồn mở vào năm 2024, là một giao thức cho phép các hệ thống AI, đặc biệt là các ứng dụng dựa trên mô hình ngôn ngữ lớn (LLM) kết nối trực tiếp với các công cụ và dịch vụ bên ngoài. Điển hình, tổ chức có thể dùng AI để cho phép LLM tìm kiếm và cập nhật tài liệu, quản lý mã nguồn, làm việc với API, hoặc truy cập dữ liệu CRM, tài chính và dữ liệu lưu trữ trên nền tảng đám mây.
Giống như bất cứ công cụ mã nguồn mở khác, MCP có thể bị kẻ xấu lợi dụng. Trong nghiên cứu mới đây, các chuyên gia của Nhóm Ứng phó Khẩn cấp của Kaspersky (Kaspersky Emergency Response Team – GERT) đã thực hiện một kịch bản thử nghiệm, mô phỏng cách kẻ tấn công lợi dụng máy chủ MCP. Cuộc thử nghiệm nhằm minh họa cách kẻ gian tấn công chuỗi cung ứng thông qua giao thức này, đồng thời cho thấy mức độ thiệt hại có thể xảy ra khi tổ chức, doanh nghiệp sử dụng các công cụ như MCP mà không kiểm tra, rà soát kỹ lưỡng.
Trong phòng thí nghiệm an ninh mạng, các chuyên gia mô phỏng một máy tính của lập trình viên bị cài đặt máy chủ MCP độc hại, từ đó có thể thu thập được nhiều loại dữ liệu nhạy cảm, bao gồm: Mật khẩu lưu trong trình duyệt; Thông tin thẻ tín dụng; Tệp ví tiền mã hóa; API token và thông tin chứng chỉ; Cấu hình đám mây và nhiều loại dữ liệu khác.
Trong cuộc tấn công mô phỏng, người dùng dễ bị đánh lừa do không nhận ra dấu hiệu bất thường. Mặc dù Kaspersky chưa từng ghi nhận phương thức tấn công này trong thực tế, người dùng vẫn cần cảnh giác rằng tội phạm mạng có thể lợi dụng phương thức này không chỉ để đánh cắp dữ liệu nhạy cảm, mà còn để thực hiện các hành vi nguy hiểm khác như chạy mã độc, cài đặt backdoor hay phát tán mã độc tống tiền.
Kaspersky đã sử dụng Cursor làm khách hàng AI giả định trong nghiên cứu để kết nối với máy chủ MCP – đã bị biến thành công cụ tấn công. Tuy nhiên, ý tưởng tấn công này hoàn toàn có thể áp dụng tương tự cho các mô hình ngôn ngữ lớn (LLM) khác. Cursor và Anthropic đã được thông báo về kết quả nghiên cứu này.
Ông Mohamed Ghobashy, Chuyên gia Ứng phó Sự cố thuộc Nhóm Ứng phó Khẩn cấp Toàn cầu của Kaspersky (GERT) nhận định: “Tấn công chuỗi cung ứng vẫn là một trong những mối đe dọa nghiêm trọng nhất trong lĩnh vực an ninh mạng hiện nay. Đó là lý do chúng tôi mô phỏng một kịch bản, trong đó tội phạm mạng lợi dụng MCP để tạo ra một cuộc tấn công giả định. Trong bối cảnh AI bùng nổ và cuộc đua tích hợp công cụ AI vào quy trình làm việc diễn ra mạnh mẽ, nhiều doanh nghiệp trở nên chủ quan. Nguy cơ rò rỉ dữ liệu rất cao nếu doanh nghiệp sử dụng MCP tùy chỉnh trông có vẻ hợp pháp nhưng chưa được kiểm chứng, chẳng hạn như những công cụ được tải từ Reddit hay các diễn đàn tương tự. Điều này càng nhấn mạnh tầm quan trọng của việc duy trì cảnh giác và xây dựng hệ thống phòng thủ an ninh mạng vững chắc. Trong Sách trắng mới nhất, chúng tôi sẽ trình bày chi tiết kỹ thuật về phương thức tấn công này, cùng với các biện pháp phòng tránh, giúp doanh nghiệp không trở thành nạn nhân của các chiến dịch khai thác kiểu tấn công này”.
