Современное развитие искусственного интеллекта неразрывно связано с интеграцией разнообразных внешних данных и сервисов через протоколы взаимодействия. Одним из таких решений стал Model Context Protocol (MCP), разработанный компанией Anthropic, который позволяет AI-системам взаимодействовать с внешними базами данных и друг с другом. Однако недавнее обнаружение серьезной уязвимости безопасности в реализации SQLite MCP сервера от Anthropic вызывает серьезные опасения по поводу безопасности и устойчивости подобных интеграций. По заявлению Trend Micro, одного из ведущих исследователей в области кибербезопасности, в коде SQLite MCP сервера была выявлена классическая SQL-инъекция, которая позволяет злоумышленникам совершать атаки, вплоть до полного перехвата управления поддерживающими ботами и кражи конфиденциальных данных. Уязвимость связана с тем, что сервер неправильно обрабатывает и объединяет пользовательский ввод с SQL-запросами, не фильтруя вредоносные команды.
Это позволяет внедрить вредоносный SQL-код, который затем несанкционированно выполняется в базе данных. Таким образом, атака трансформируется из традиционной SQL-инъекции в более сложный сценарий — инъекцию подсказок (prompt injection), используемую для обмана AI-агентов и манипуляции ими. В случае поддержки бота злоумышленник может создать поддельный запрос поддержки, в котором содержится специально сформированный вредоносный код. Такой запрос будет сохранён в базе в открытом статусе, минуя систему безопасности, которая обычно проверяет такие данные. После этого бот, оценивая эти запросы как легитимные, выполняет команды, которые не должны быть доступны, включая передачу базы с конфиденциальными данными клиента на внешний электронный адрес злоумышленника.
Главная опасность заключается в том, что MCP сервер оперирует с расширенными правами доступа к системе, а любые запросы в статусе «открытые» полностью доверяются системе обработки, что открывает путь для проникновения в цепочку управления системой или получения доступа к особо важным данным. По данным Trend Micro, обнаруженная уязвимость вызывает значительный риск цепочечной атаки — поставщики программного обеспечения и компании, использующие MCP сервер для интеграции данных, могут стать жертвами косвенного проникновения, несмотря на то, что сами напрямую не подверглись взлому. К примеру, логистические компании, применяющие ПО с MCP для управления запасами, ценами или CRM, рискуют получить сбои в маршрутизации, задержки поставок и утечку данных, если в структуре поставщика содержится уязвимый сервер. Несмотря на серьёзность проблемы, Anthropic приняла решение не исправлять этот баг. Компания аргументирует это тем, что GitHub репозиторий с кодом сервера был заархивирован и является общедоступным примером реализации протокола, который рекомендован для использования под контролем человека.
В заявлении компании подчёркивается, что именно человеческий контроль за запросами должен выступать защитным механизмом для предотвращения вредоносного выполнения SQL-команд. Отказ от патча поставил тысячи проектов, которые форкнули или скопировали исходный код, перед дилеммой: либо самостоятельно устранять проблему, либо продолжать использовать уязвимый код, рискуя безопасностью. Публично доступный исходный код MCP сервера с уязвимостью был загружен и форкнут более 5000 раз, поэтому масштаб потенциального воздействия невероятно велик. Сложность ситуации усугубляется ещё и тем, что в мире AI-агентов широкое применение получают автоматизированные системы поддержки и обработки данных, которые непосредственно взаимодействуют с базами данных через этот протокол. Если атака успешно реализуется, это позволяет злоумышленникам получить доступ к коммерческим тайнам, персональным данным клиентов, логам и другой ценной информации.
Кроме того, обнаруженный баг иллюстрирует ограниченность существующих подходов к безопасности в интеграции ИИ и внешних данных. Применение стандартных техник тестирования безопасности для традиционных приложений не всегда охватывает новые угрозы, связанные с подсказками и поведением AI-моделей внутри сложных рабочих процессов. Эксперты советуют владельцам систем, использующих MCP и его реализации, провести аудит всех используемых AI-активов и «поставки» программного обеспечения, идентифицировать уязвимые места и полностью пересмотреть политику безопасности работы с внешними вводами. Рекомендуется усилить контроль и наблюдение за поведением AI-агентов, настроить системы оповещения о подозрительных действиях и поддерживать процессы регулярного обновления и исправления компонентов. Данный инцидент также демонстрирует важность активного сообщества и открытого диалога между разработчиками, исследователями кибербезопасности и конечными пользователями.
