概要
人気のModel Context Protocol (MCP) サーバーホスティングサービスであるSmithery.aiに存在する重大な脆弱性により、3,000以上のAIサーバーと数千のAPIキーが潜在的な攻撃者に晒されました。セキュリティ研究者は、機密性の高いインフラファイルへの不正アクセスを可能にし、管理者の認証情報を危険に晒し、AIエコシステム全体を脅かす単純なパス・トラバーサル脆弱性を発見しました。
脆弱性の発見と初期侵害
研究者たちは、以前のプロジェクトのためにSmitheryのホスト型サーバーを調査中にこの脆弱性を発見しました。この欠陥は、レジストリのビルドプロセスにおけるdockerBuildPath設定値の不適切な検証に起因していました。攻撃者はこのパラメータを操作して、MCPサーバーのコードリポジトリ外の場所を参照させることができ、結果としてビルドマシン上の任意のファイルシステムにアクセスすることが可能でした。ビルドコンテキストを親ディレクトリに設定し、悪意のあるDockerfileを使用することで、研究者たちはDocker認証情報を含む機密ファイルを外部に持ち出しました。侵害された.docker/config.jsonファイルには、意図されたDockerレジストリの権限をはるかに超える過剰な権限を持つfly.io認証トークンが含まれていました。
影響とサプライチェーンリスク
盗まれたfly.ioのAPIトークンは、ホストされているMCPサーバーに対応する3,000以上のアプリケーションを含む組織へのアクセスを可能にしました。このトークンの過剰な権限により、攻撃者はfly.ioのmachines APIを通じて、ホストされている任意のサーバー上で任意のコードを実行できました。研究者たちは、侵害されたマシン上でrootアクセス権限でリモートコマンドを実行することで、この能力を実証しました。侵害されたサーバーへのクライアントリクエストにはAPIキーが含まれており、このレベルのアクセスは大規模なサプライチェーンリスクを生み出しました。MCPサーバーは、データベースやAPIを含むリモートリソースの認証シークレットを処理します。これらのサーバーを制御することで、攻撃者はネットワークトラフィックを傍受し、クライアントから送信されるAPIキーを抽出することができました。研究者たちは、Brave Search APIキーのような機密性の高い認証情報を含む実際のクライアントリクエストを捕捉し、数百のサービスにわたる数千の顧客がどのように侵害される可能性があるかを示しました。
教訓と推奨事項
この脆弱性は責任を持って開示され、迅速にパッチが適用され、積極的な悪用の証拠は発見されていません。しかし、この事件は集中型AIインフラにおける重大なセキュリティ課題を浮き彫りにしています。MCPはAIアプリケーションが外部ツールやデータソースに接続することを可能にしますが、サーバーの集中は、単一の脆弱性がエコシステム全体に波及する可能性のある高価値な標的を生み出します。この攻撃は、脅威アクターが集中型認証情報ストレージを悪用して複数の組織を同時に侵害したSalesloftの侵害のような以前のサプライチェーンインシデントを反映しています。ほとんどのMCPサーバーは、OAuth認証ではなく静的な長期APIキーに依存しており、権限の細分化を制限し、悪用期間を延長することで潜在的な影響を増幅させます。セキュリティ専門家は、組織がMCPホスティングモデルを慎重に評価し、適切なシークレット管理プラクティスを実装する必要があることを強調しています。OAuthはサプライチェーン侵害に対する完全な防御ではありませんが、適切な設定はインシデントの影響を大幅に軽減できます。AIインフラが進化し続けるにつれて、集中型プラットフォームにおける機密認証情報の集中は、セキュリティ監視の強化と、認証情報処理および認証プロトコルに関するMCPのベストプラクティスへの順守を要求します。