Penjelasan teknis
Penelitian menunjukkan 43% dari MCP servers yang dapat diakses publik dapat dieksploitasi untuk eksekusi perintah; ~21,000 instans AI agent yang terekspos terdeteksi. Penyerang menyuntikkan instruksi ke dalam metadata alat MCP (deskripsi, parameter) yang secara implisit dipercaya oleh agent. Kelas serangan OpenClaw membajak developer agent melalui kepercayaan localhost implisit.
Vektor serangan
Metadata berbahaya dalam deskripsi alat; keluaran alat yang tercemar menyematkan instruksi tersembunyi; eksploitasi berbasis web dari kepercayaan localhost; kompromi rantai pasokan dari perpustakaan alat MCP.
Sistem yang terdampak
Penyebaran Agentic AI menggunakan MCP atau kerangka kerja tool-calling serupa, khususnya lingkungan pengembang dan asisten enterprise dengan akses alat yang luas.
Mitigasi
Perkuat implementasi MCP server; audit/sandbox metadata alat; terapkan batas instruksi/data; hapus kepercayaan localhost implisit; perlukan otorisasi eksplisit untuk alat yang istimewa; pantau anomali tool-call.