Penjelasan teknis
Penelitian menunjukkan 43% server MCP yang dapat dijangkau publik dapat dieksploitasi untuk eksekusi perintah; ~21.000 instans agen AI yang terekspos terdeteksi. Penyerang menyuntikkan instruksi ke dalam metadata alat MCP (deskripsi, parameter) yang secara implisit dipercaya oleh agen. Kelas serangan OpenClaw membajak agen pengembang melalui kepercayaan localhost implisit.
Vektor serangan
Metadata berbahaya dalam deskripsi alat; keluaran alat yang tercemar menanamkan instruksi tersembunyi; eksploitasi berbasis web dari kepercayaan localhost; kompromi rantai pasokan dari pustaka alat MCP.
Sistem yang terdampak
Penyebaran Agentic AI menggunakan MCP atau kerangka kerja pemanggilan alat serupa, khususnya lingkungan pengembang dan asisten perusahaan dengan akses alat yang luas.
Mitigasi
Perkuat implementasi server MCP; audit/sandbox metadata alat; penegakan batas instruksi/data; hapus kepercayaan localhost implisit; perlukan otorisasi eksplisit untuk alat istimewa; pantau anomali pemanggilan alat.