Мир информационной безопасности постоянно сталкивается с новыми вызовами, и одна из недавно обнаруженных проблем связана с устаревшим Slack MCP сервером, разработанным компанией Anthropic. Уязвимость, получившая широкое распространение, может привести к серьезной утечке конфиденциальной информации, если соответствующие меры защиты не были применены. Рассмотрим подробности этой уязвимости, ее механизм действия, возможные последствия и пути предотвращения угроз. Slack MCP серверы от Anthropic являлись одними из популярных инструментов для интеграции искусственного интеллекта с корпоративными коммуникациями. Они предназначены для работы с платформой Slack, позволяя AI-агентам автоматически публиковать сообщения и выполнять разнообразные задачи.
Однако с того момента, как Anthropic прекратил поддержку этих серверов, их безопасность оказалась под вопросом, а потенциальные изъяны могут представлять серьезную проблему для пользователей. Ключевой уязвимостью является так называемая «ссылка unfurling», то есть автоматическое получение и отображение превью по ссылкам, размещенным в сообщениях Slack. Эта функция, изначально предназначенная для улучшения пользовательского опыта, вскрыла серьезный недостаток: AI-агенты, использующие Slack MCP сервер, могут незаметно для пользователя отправлять вредоносные ссылки, которые, при раскрытии превью, передают конфиденциальные данные на сторонние серверы. Особенно опасным является сценарий, когда AI-агент получает доступ к приватным данным и обрабатывает непроверенную входящую информацию, такую как документы, веб-страницы или сообщения. В сочетании с функцией unfurling возникает угроза «нулевого клика» – атаки, при которой утечка информации происходит незаметно, без какого-либо взаимодействия со стороны пользователя.
Кроме того, уязвимость можно эксплуатировать через невидимую инъекцию команд (prompt injection), когда вредоносный код в файле или сообщении заставляет AI-агента выполнить нежелательные действия. Поскольку Slack автоматически формирует запросы, чтобы показать превью ссылок, вредоносный сервер злоумышленника получает информацию, переданную в виде параметров URL. В результате секреты, API-ключи или другие важные данные случайно оказываются на внешнем ресурсе. Особенность этой уязвимости в том, что передача данных происходит через несколько различных сервисов Slack, включая Slackbot и Slack-ImgProxy, что усложняет контроль и выявление утечек. Неподдерживаемость Slack MCP сервера от Anthropic усугубляет проблему.
Компания официально отказалась от его поддержки и не планирует выпускать обновления для исправления ошибок или уязвимостей. Это означает, что пользователи таких серверов остаются без защиты и сами должны предпринимать шаги по оценке рисков и внедрению мер безопасности. Рассмотрим на практике, как работает типичный сценарий эксплуатации этой уязвимости. Пользователь анализирует зараженный вредоносной инъекцией код с помощью AI-агента, подключенного к Slack MCP серверу. Вредоносный сценарий заставляет AI-агента прочитать конфиденциальный файл, к примеру .
env с API-ключами, а затем опубликовать специально сформированную ссылку в приватном Slack-канале. Автоматическая функция раскрытия ссылок в Slack (unfurling) активирует запросы к вредоносному серверу, запрашивая и передавая содержимое ссылки, что приводит к утечке секретной информации. Этот механизм показывает опасность чрезмерного доверия к AI-инструментам и отсутствия контроля за автоматизированными действиями в корпоративных системах. Важным аспектом также является мнимое чувство безопасности, если, например, AI-агент ограничен в публикации сообщений только в один закрытый канал – из-за функции unfurling данные всё равно оказываются за пределами организации. Для оценки критичности угрозы используются рейтинги CVSS.
Разные AI-системы выдают высокие оценки, уровень риска определяется от высокого до критического. Такая оценка обоснована высокой степенью воздействия и относительно простой эксплуатацией уязвимости. Наилучшей практикой для снижения риска становится отказ от использования устаревших и неподдерживаемых серверов, таких как Anthropic Slack MCP. Использование актуальных решений от официальных поставщиков гарантирует получение своевременных исправлений и обновлений безопасности. Если отказ от использования нельзя реализовать немедленно, рекомендуется внедрить временные меры по отключению нефильтрованного раскрытия ссылок в Slack.
Для этого достаточно добавить в функции отправки сообщений параметры, отключающие unfurl_links и unfurl_media. Это существенно снижает возможность утечки, так как Slack перестает автоматически извлекать превью и отправлять запросы сторонним серверам. Помимо технических настроек, важно также оценить права Slack-приложений, сократить их до минимально необходимых и исключить избыточные разрешения. Контроль за доступом позволяет уменьшить потенциальное воздействие вредоносных действий. Одним из способов усиления защиты может стать внедрение белых списков доменов, на которые разрешено отправлять ссылки.
Такой подход снижает риск отправки информации на сторонние и нежелательные ресурсы. Опыт, связанный с этой уязвимостью, служит тревожным напоминанием для корпоративного сектора об особенностях внедрения AI-агентов и необходимости адекватного контроля за их действиями. Нормализация практики автоматизированного выполнения команд без подтверждения может привести к серьезным инцидентам информационной безопасности. Облачные и внутренние системы нуждаются в регулярной инвентаризации установленных компонентов и интеграций, особое внимание уделяя таким компонентам как MCP-серверы. Выявление и замена устаревших решений, своевременное обновление политик безопасности и обучение сотрудников основам кибербезопасности создают масштабное барьерное поле против современных угроз.
![Mr. Cardamom – Nani (Starring Madhur Jaffrey) [video]](/images/B4B8E086-491E-48BA-88AC-553C02CC4EAA)