Keracunan Tool Protokol MCP melalui Registrasi Server Berbahaya

Peneliti mengungkapkan kerentanan dalam Model Context Protocol di mana server MCP berbahaya dapat mendaftarkan tools dengan deskripsi yang berisi instruksi tersembunyi yang mengesampingkan system prompt agen, memungkinkan eksekusi tindakan arbitrer.

Penyerang menghosting server MCP berbahaya dan menipu pengguna atau agen agar terhubung dengannya. Deskripsi tool berisi muatan prompt injection yang diproses oleh LLM sebagai instruksi terpercaya.

Kerangka kerja agen yang mendukung MCP apa pun termasuk Claude Desktop, Cursor, dan integrasi MCP kustom yang tidak memvalidasi deskripsi tool.

Terapkan sanitisasi deskripsi tool, batasi koneksi server MCP ke endpoint yang dipebolehkan, dan tambahkan konfirmasi human-in-the-loop untuk tindakan tool yang sensitif.