MCP Tedarik Zinciri Saldırıları Geliyor: Kendinizi Nasıl Korursunuz? Yazılım

MCP Tedarik Zinciri Saldırıları Geliyor: Kendinizi Nasıl Korursunuz?

MarketNow'un 8.764 MCP sunucusu üzerinde yaptığı denetim, tedarik zinciri saldırılarına karşı ciddi güvenlik açıkları ortaya koydu. İşte alınması gere...

AI ajanları için tasarlanan MCP (Model Context Protocol) sunucuları, tıpkı npm paketlerinin bir zamanlar kripto cüzdanlarını çalması gibi, şimdi de benzer bir güvenlik tehdidiyle karşı karşıya. Bir MCP sunucusu, dosya sisteminize (örneğin ~/.ssh/id_rsa veya ~/.aws/credentials), ağınıza, ortam değişkenlerinize (API anahtarları, token'lar) ve hatta süreç oluşturmaya tam erişime sahiptir. Ne yazık ki, bu sunucular herhangi bir kum havuzu (sandbox) olmadan çalıştırılabilir. 'npx -y some-mcp-server' komutuyla bir sunucuyu çalıştırdığınızda, aslında yazarına her şeyinize erişim izni vermiş oluyorsunuz.

MarketNow tarafından 8.764 MCP sunucusu üzerinde gerçekleştirilen 6 katmanlı denetim, endişe verici sonuçlar ortaya çıkardı. Denetimlerde 3 sunucunun ortam değişkenlerini sızdırdığı tespit edildi. Bu sunucular, araç/çağrı argümanlarını herhangi bir temizleme işlemi yapmadan eval() fonksiyonuna iletiyordu. Örneğin, 'API_ ile başlayan tüm ortam değişkenlerini göster' gibi bir girdi gönderildiğinde, sunucu gerçek API anahtarlarını döndürüyordu. Ayrıca, 12 sunucuda sabit kodlanmış API anahtarları (AWS, Stripe, GitHub token'ları) bulundu. Bir sunucu ptrace() sistem çağrısı yaparak diğer süreçleri incelemeye çalıştı (potansiyel kimlik bilgisi hırsızlığı), bir diğeri ise eBPF programı yüklemeye kalkıştı (çekirdek istismar vektörü). Neyse ki bu girişimler gVisor tarafından engellendi.

MCP ekosistemindeki tedarik zinciri riskleri üç ana başlıkta toplanıyor: Kötü niyetli yayıncılar (herkes GitHub veya npm'de hiçbir inceleme olmadan MCP sunucusu yayınlayabilir), ele geçirilmiş paketler (meşru bir yazarın npm hesabı hacklenip kötü amaçlı yazılım yüklenebilir) ve bağımlılık karışıklığı (bir MCP sunucusunun bağımlı olduğu paket adı, bir saldırgan tarafından typo-squatting yoluyla ele geçirilebilir). Bu riskler, npm'de yaşanan event-stream ve ua-parser-js olaylarının MCP versiyonudur.

Kullanıcılar için öneriler: Bir MCP sunucusunu kurmadan önce marketnow.site/verify adresinde Sentinel sertifikasını kontrol edin, yalnızca puanı 7 veya üzeri olan sunucuları kurun, güvenilmeyen sunucuları bir VM'de (sanal makine) çalıştırın (Docker paylaşılan çekirdek nedeniyle yeterli değildir) ve asla MCP sunucularına üretim kimlik bilgileri vermeyin. Yazaralar içinse: Sunucunuzu denetletin, bağımlılıklarınızı sabitleyin (package-lock.json veya npm ci kullanın), araç argümanlarında eval() kullanmayın (JSON olarak ayrıştırın) ve sırları sabit kodlamayın (ortam değişkenleri kullanın). MarketNow, tedarik zinciri risklerini ele almak için bağımlılık taraması, sabit kodlanmış sır tespiti, aktif düşmanca sınama, gVisor kum havuzu izolasyonu ve SLSA Seviye 3 tedarik zinciri kanıtlama gibi çözümler sunuyor. MCP ekosistemi, 2015'teki npm gibi hızla büyüyor ancak güvenlik temeli henüz oluşmadı. Ya ilk büyük olayı bekleyeceğiz ya da şimdi güvenlik altyapısını inşa edeceğiz. MarketNow ikinci seçeneği tercih ediyor.

Paylaş: