Especialistas em segurança da JFrog encontraram uma ameaça de “sequestro imediato” que explora pontos fracos na forma como os sistemas de IA se comunicam entre si usando MCP (Model Context Protocol).
Os líderes empresariais querem tornar a IA mais útil usando diretamente dados e ferramentas da empresa. Mas ligar a IA desta forma também abre novos riscos de segurança, não na IA em si, mas na forma como está tudo ligado. Isso significa que os CIOs e CISOs precisam pensar em um novo problema: manter seguro o fluxo de dados que alimenta a IA, assim como protegem a própria IA.
Por que os ataques de IA direcionados a protocolos como o MCP são tão perigosos
Os modelos de IA – não importa se estão no Google, na Amazon ou em execução em dispositivos locais – têm um problema básico: eles não sabem o que está acontecendo agora. Eles só sabem no que foram treinados. Eles não sabem em qual código um programador está trabalhando ou o que há em um arquivo em um computador.
Os especialistas da Anthropic criaram o MCP para consertar isso. O MCP é uma forma de a IA se conectar ao mundo real, permitindo-lhe usar dados locais e serviços online com segurança. É o que permite que um assistente como Claude entenda o que isso significa quando você aponta para um trecho de código e pede para ele retrabalhá-lo.
No entanto, a pesquisa do JFrog mostra que uma determinada maneira de usar o MCP tem uma fraqueza de sequestro imediato que pode transformar essa ferramenta de IA dos sonhos em um problema de segurança de pesadelo.
Imagine que um programador peça a um assistente de IA para recomendar uma ferramenta Python padrão para trabalhar com imagens. A IA deve sugerir Travesseiroque é uma escolha boa e popular. Mas, devido a uma falha (CVE-2025-6515) no aveiapp-mcp sistema, alguém pode entrar furtivamente na sessão do usuário. Eles poderiam enviar sua própria solicitação falsa e o servidor a trataria como se viesse do usuário real.
Então, o programador recebe uma sugestão ruim do assistente de IA, recomendando uma ferramenta falsa chamada theBestImageProcessingPackage. Este é um ataque sério à cadeia de fornecimento de software. Alguém poderia usar esse sequestro de prompt para injetar código incorreto, roubar dados ou executar comandos, tudo isso parecendo uma parte útil do kit de ferramentas do programador.
Como funciona esse ataque de sequestro de prompt do MCP
Esse ataque imediato de sequestro interfere na forma como o sistema se comunica usando o MCP, e não na segurança da própria IA. A fraqueza específica foi encontrada na configuração MCP do sistema Oat++ C++, que conecta programas ao padrão MCP.
O problema está em como o sistema lida com conexões usando eventos enviados pelo servidor (SSE). Quando um usuário real se conecta, o servidor fornece a ele um ID de sessão. No entanto, a função defeituosa usa o endereço de memória da sessão do computador como ID da sessão. Isso vai contra a regra do protocolo de que os IDs de sessão devem ser exclusivos e criptograficamente seguros.
Este é um projeto ruim porque os computadores frequentemente reutilizam endereços de memória para economizar recursos. Um invasor pode tirar vantagem disso criando e fechando rapidamente muitas sessões para registrar esses IDs de sessão previsíveis. Mais tarde, quando um usuário real se conectar, ele poderá obter um desses IDs reciclados que o invasor já possui.
Assim que o invasor tiver um ID de sessão válido, ele poderá enviar suas próprias solicitações ao servidor. O servidor não consegue diferenciar o invasor do usuário real, por isso envia as respostas maliciosas de volta à conexão do usuário real.
Mesmo que alguns programas aceitem apenas determinadas respostas, os invasores muitas vezes conseguem contornar isso enviando muitas mensagens com números de eventos comuns até que uma delas seja aceita. Isso permite que o invasor bagunce o comportamento do modelo sem alterar o próprio modelo de IA. Qualquer empresa que utilize aveiapp-mcp com HTTP SSE habilitado em uma rede que um invasor pode acessar está em risco.
O que os líderes de segurança de IA devem fazer?
A descoberta deste ataque de sequestro imediato de MCP é um aviso sério para todos os líderes de tecnologia, especialmente CISOs e CTOs, que estão construindo ou usando assistentes de IA. À medida que a IA se torna cada vez mais parte dos nossos fluxos de trabalho através de protocolos como o MCP, ela também ganha novos riscos. Manter a área ao redor da IA segura é agora uma prioridade máxima.
Embora esse CVE específico afete um sistema, a ideia de sequestro imediato é geral. Para se protegerem contra este e outros ataques semelhantes, os líderes precisam de definir novas regras para os seus sistemas de IA.
Primeiro, certifique-se de que todos os serviços de IA utilizem gerenciamento de sessão seguro. As equipes de desenvolvimento precisam garantir que os servidores criem IDs de sessão usando geradores aleatórios e fortes. Isso deveria ser um item obrigatório em qualquer lista de verificação de segurança para programas de IA. Usar identificadores previsíveis, como endereços de memória, não é aceitável.
Em segundo lugar, fortaleça as defesas do lado do usuário. Os programas clientes devem ser projetados para rejeitar qualquer evento que não corresponda aos IDs e tipos esperados. IDs de eventos simples e incrementais correm o risco de ataques de pulverização e precisam ser substituídos por identificadores imprevisíveis que não colidem.
Finalmente, use princípios de confiança zero para protocolos de IA. As equipes de segurança precisam verificar toda a configuração da IA, desde o modelo básico até os protocolos e middleware que a conectam aos dados. Esses canais precisam de forte separação e expiração de sessões, como o gerenciamento de sessões usado em aplicativos da web.
Este ataque de sequestro de prompt do MCP é um exemplo perfeito de como um problema conhecido de aplicativo da web, o sequestro de sessão, está aparecendo de uma maneira nova e perigosa na IA. Proteger essas novas ferramentas de IA significa aplicar esses sólidos princípios básicos de segurança para impedir ataques no nível do protocolo.
Veja também: Como a adoção da IA está mudando as operações de TI de reativas para proativas
Quer saber mais sobre IA e big data dos líderes do setor? Confira a AI & Big Data Expo que acontece em Amsterdã, Califórnia e Londres. O evento abrangente faz parte da TechEx e está localizado junto com outros eventos de tecnologia líderes, incluindo a Cyber Security Expo. Clique aqui para obter mais informações.
AI News é desenvolvido pela TechForge Media. Explore outros eventos e webinars de tecnologia empresarial futuros aqui.
Fontesartificialintelligence
