Trivial Trojans: How Minimal MCP Servers Enable Cross-Tool Exfiltration of Sensitive Data
Nicola Croce, Tobin South
模型上下文协议(MCP)代表了AI-工具集成的重大进步,实现了AI代理和外部服务之间的无缝通信。 然而,这种连接引入了新的攻击向量,这些攻击向量在很大程度上仍未被探索。 本文演示了不复杂的威胁行为者,只需要基本的编程技能和免费的网络工具,可以利用MCP的信任模型来过滤敏感的财务数据。 我们提出了一个概念验证攻击,恶意天气MCP服务器伪装成良性功能,发现并利用合法的银行工具窃取用户账户余额。 攻击链不需要先进的技术知识、服务器基础设施或货币投资。 研究结果揭示了新兴MCP生态系统中的一个关键安全漏洞:虽然单个服务器可能看起来值得信赖,但其组合创造了意想不到的跨服务器攻击面。 与承担复杂对手的传统网络安全威胁不同,我们的研究表明,基于MCP的攻击进入门槛低得惊人。 具有本科级Python知识的威胁行为者可以制造令人信服的社会工程攻击,这些攻击利用MCP在AI代理和工具提供商之间建立的隐性信任关系。 这项工作通过证明当前的MCP实现允许微不足道的跨服务器攻击并提出即时缓解和协议改进以确保这个新兴生态系统,从而有助于MCP安全领域的新生领域。
The Model Context Protocol (MCP) represents a significant advancement in AI-tool integration, enabling seamless communication between AI agents and external services. However, this connectivity introduces novel attack vectors that remain largely unexplored. This paper demonstrates how unsophisticated threat actors, requiring only basic programming skills and free web tools, can exploit MCP's trust model to exfiltrate sensitive financial data. We present a proof-of-concept attack where a maliciou...