Penjelasan teknis
Peneliti mengungkapkan kerentanan dalam Model Context Protocol di mana server MCP berbahaya dapat mendaftarkan alat dengan deskripsi yang berisi instruksi tersembunyi yang mengganti prompt sistem agen, memungkinkan eksekusi tindakan sewenang-wenang.
Vektor serangan
Penyerang menjalankan server MCP berbahaya dan menipu pengguna atau agen agar terhubung ke dalamnya. Deskripsi alat berisi muatan injeksi prompt yang diproses oleh LLM sebagai instruksi tepercaya.
Sistem yang terdampak
Kerangka agen apa pun yang diaktifkan MCP termasuk Claude Desktop, Cursor, dan integrasi MCP kustom yang tidak memvalidasi deskripsi alat.
Mitigasi
Terapkan sanitasi deskripsi alat, batasi koneksi server MCP ke titik akhir yang masuk dalam daftar izin, dan tambahkan konfirmasi manusia dalam loop untuk tindakan alat yang sensitif.