Microsoft Memperingatkan Deskripsi Alat MCP Keracunan Dapat Membuat Agen AI Membocorkan Data
Penelitian baru Microsoft menunjukkan bagaimana penyerang dapat membajak agen AI yang bertindak atas nama pengguna, hanya menggunakan deskripsi alat yang diracuni untuk membuat agen diam-diam menyerahkan data perusahaan…
Sumber: thehackernews. com
Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Penelitian baru Microsoft menunjukkan bagaimana penyerang dapat membajak agen AI yang bertindak atas nama pengguna, hanya menggunakan deskripsi alat yang diracuni untuk membuat…
Penelitian baru Microsoft menunjukkan bagaimana penyerang dapat membajak agen AI yang bertindak atas nama pengguna, hanya menggunakan deskripsi alat yang diracuni untuk membuat agen diam-diam menyerahkan data perusahaan kepada pihak luar.
Setiap alat MCP dilengkapi dengan deskripsi: beberapa baris teks biasa yang memberi tahu agen apa fungsi alat tersebut dan kapan menggunakannya. Agen membaca teks itu untuk memutuskan bagaimana harus bertindak. Itulah keseluruhan kelemahannya. Deskripsi hanyalah kata-kata, dan kata-kata dapat membawa instruksi.
Microsoft menjelaskannya dengan contoh faktur, yang dibuat untuk menunjukkan polanya, bukan melaporkan nama korban. Tim keuangan membentuk agen untuk menangani faktur vendor. Ini terhubung ke tiga alat, termasuk layanan "pengayaan faktur" pihak ketiga yang telah disetujui untuk digunakan tetapi tidak pernah diberikan tinjauan keamanan yang nyata.
Kelas serangan ini memiliki jejak kertas. Lab Invarian diberi nama "keracunan alat" pada bulan April 2025, dengan bukti konsep yang menyembunyikan instruksi dalam deskripsi alat kalkulator dan membuat editor Kursor membaca kunci SSH pribadi pengguna dan mengirimkannya. Pengembang Simon Willison menggalinya beberapa hari kemudian.
Kelompok yang sama kemudian menunjukkan trik terkait: masalah GitHub yang berbahaya dapat membajak agen yang terhubung ke server GitHub MCP dan mengeluarkan data dari repositori pribadi. Peralatan di sana dipercaya dan tidak tersentuh; instruksi buruk masuk ke dalam data yang dibaca agen.
Kegagalan rantai pasokan terkait telah terjadi di alam liar. Pada bulan September 2025, peneliti di Koi Security menemukan paket npm yang disebut cap pos-mcp. Itu mencerminkan alat email yang sah untuk lima belas rilis bersih sebelum versi 1. 0. 16 dimasukkan dalam satu baris yang secara diam-diam melakukan BCC setiap email yang dikirim agen ke penyerang. Koi menyebutnya sebagai server MCP berbahaya pertama di dunia nyata.
Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.