AI İkilemi: MCP Güvenliği Neden Yamalanamaz?
RSAC 2026'da sunulan araştırma, MCP'nin LLM ortamlarında yarattığı mimari güvenlik risklerini ortaya koyuyor. Yamalarla çözülemeyen bu sorunlar için yeni savunma stratejileri.
AI İkilemi: MCP Güvenliği Neden Yamalanamaz?
RSAC 2026 Konferansı'nda sunulan araştırmaya göre, Model Context Protocol (MCP) kullanarak LLM uygulamalarını dış veri kaynaklarına bağlayan kuruluşlar, mevcut güvenlik kontrollerinin başa çıkamayacağı türden saldırı yüzeyleri yaratıyor.
Netskope'den cloud tehdit araştırmacısı Gianpietro Cutolo, risklerin yama veya konfigürasyon değişiklikleriyle çözülemeyeceğini vurguluyor. Sorun, hem büyük dil modellerinde (LLM) hem de MCP'nin mimarisinde köklü olarak var.
LLM'lerin Davranışı MCP ile Tamamen Değişiyor
Normalde bir LLM, prompt veya talimat aldığında bir yanıt oluşturur ve kullanıcı ne yapacağına kendisi karar verir. En kötü senaryo bir halüsinasyon olur.
MCP ile birlikte dinamik tamamen değişiyor. LLM artık sadece yanıt üretmiyor, kullanıcı adına gerçek eylemler yürütüyor. MCP etkinleştirilmiş bir ortamda LLM; kurumsal verilere erişebilir, iş akışlarını tetikleyebilir, API çağrıları yapabilir ve özerk kararlar alabilir.
Örneğin, bir kullanıcı AI asistanından toplantı planlamasını istediğinde, LLM Google Calendar MCP konektörü kullanarak müsaitliği kontrol edebilir, takvim etkinliği oluşturabilir ve hatırlatıcı ayarlayabilir. Model, MCP sunucusunun yayınladığı "e-postaları getir" veya "takvim etkinliği oluştur" gibi fonksiyonları seçer ve parametreleri belirler.
Dolaylı Prompt Injection Saldırıları
En büyük sorunlardan biri, LLM'lerin içerik ile talimatları ayırt edememesi. MCP konektörü e-posta veya belge gibi dış kaynaklardan içerik getirdiğinde, LLM her şeyi girdi olarak işler. Bu, saldırganların modelin getirdiği içeriğe kötü amaçlı talimatlar gizlemesini triviyal hale getiriyor.
Cutolo bir örnek veriyor: Saldırgan, hedef kişiye hem meşru içerik hem de kötü amaçlı talimatlar içeren bir e-posta gönderir. Kullanıcı AI asistanından e-postayı özetlemesini isterse, MCP konektörü e-postayı gelen kutusundan çeker ve hem meşru metni hem de kötü amaçlı talimatları LLM'nin bağlamına enjekte eder.
LLM içerikten talimatı ayıramadığı için, saldırganın e-postaya gizlediği talimatı yürütür. Örneğin dosya ve verileri sızdırmak veya kullanıcı hiç bilmeden e-postalar göndermek gibi. Tek bir zehirlenmiş e-posta, yerel dosyalar, Jira biletleri, Google Drive klasörleri gibi birden fazla MCP konektörü olan ortamlarda koordineli eylemleri tetikleyebilir.
Tool Poisoning ve Rug Pull Saldırıları
İkinci saldırı vektörü tool poisoning. Bir LLM MCP sunucusuna bağlandığında, desteklenen tüm araçların veya yeteneklerin listesini, isimlerini, açıklamalarını ve girdi gereksinimlerini ister. Tool metadata doğrudan LLM bağlam penceresine gider.
Saldırganlar, araç metadata'sına kötü amaçlı talimatlar yerleştirebilir. LLM yine içerikten talimatı ayıramadığı için bu talimatları işler.
Üçüncü saldırı sınıfı Rug Pull. MCP sunucusunun yaratıcısı -veya sunucuya erişim kazanan bir saldırgan- sunucuyu kötü amaçlı olarak değiştirebilir. Protokolün, MCP istemcisini veya AI ajanını sunucudaki değişikliklerden haberdar edecek bir mekanizması yok.
Meşru bir MCP sunucusu kötü amaçlı bir güncelleme yoluyla tehlikeye atılırsa, AI ajanının kötü eylemler yapmasına neden olan kötü amaçlı tool açıklamaları veya talimatlar sunmaya başlayabilir. Ajan veya MCP istemcisi sunucunun değiştirildiğini bilemez.
Savunma Stratejileri
Cutolo, bu sorunların köklü olduğunu ve kuruluşların yama veya güncelleme ile riskten kurtulamayacağını vurguluyor. Önerilen savunma önlemleri:
- MCP sunucularını ayırma: Özel veriler ile halka açık veriler için ayrı MCP sunucuları kullanın
- Desen taraması: Ajanın işleyeceği herhangi bir bağlamda talimat benzeri desenleri, gizli metinleri ve olağandışı formatlamaları tarayın
- İnsan döngüsü: Hassas eylemler için insan onayını zorunlu tutun
- Envanter ve doğrulama: Ortamdaki her MCP sunucusunun envanterini çıkarın ve doğrulayın
- En az ayrıcalık: Her konektörün yalnızca belirli görevi için gereken erişime sahip olmasını sağlayın
- Loglama: Tüm MCP trafiğini loglayın ve ajanın aktivitesi beklenen davranıştan saptığında bayrak kaldıracak davranışsal temel çizgiler oluşturun
- Tool metadata taraması: Herhangi bir MCP sunucusu kurmadan önce tool metadata'sını kötü amaçlı talimatlar için tarayın
Kaynak: darkreading.com
Yorumlar
0İlgili Makaleler
CISA, İran Destekli Saldırı Sonrası Endpoint Yönetim Sistemlerini Sertleştirmeyi Tavsiye Etti
CISA, Stryker'a yönelik Handala saldırısı sonrası BT liderlerini endpoint yönetim sistemlerini sertleştirmeye çağırdı. Phishing dirençli MFA ve çoklu yönetici onayı vurgulandı.
Ucuz KVM Cihazları Ağınıza Uzaktan Erişim Riski Getiriyor
Eclypsium araştırmacıları dört popüler düşük maliyetli KVM-over-IP cihazında dokuz zafiyet tespit etti. Kimlik doğrulama atlatmadan firmware manipülasyonuna kadar uzanan açıklar kritik risk oluşturuyor.
Ubiquiti UniFi'de Kritik Güvenlik Açığı: Hesap Ele Geçirmeye İzin Veriyor
Ubiquiti, UniFi Network uygulamasında CVSS 10.0 şiddetinde yol gezinme açığı ve CVSS 7.7 ayrıcalık yükseltme açığını yamaledi. Kullanıcılar 10.1.89 sürümüne güncellemeli.
Yapay Zeka Çağında Zero Trust Güvenlik Mimarisi: Mücadele Devam Ediyor
AI saldırıları 11 dakikaya düştü. Zero Trust mimarisi AI ajanlarını nasıl kapsar? Federal ajanslar ikili yaklaşım arıyor, insan döngüsü kritik.