Microsoft, Zehirli MCP Aracı Açıklamalarının Yapay Zeka Aracılarının Veri Sızdırmasına Neden Olabileceği Uyardı Windows

Microsoft, Zehirli MCP Aracı Açıklamalarının Yapay Zeka Aracılarının Veri Sızdırmasına Neden Olabileceği Uyardı

Yeni Microsoft araştırması, saldırganların, kullanıcı adına hareket eden yapay zeka aracılarını, zehirli bir araç açıklamasından başka bir şey kullana...

Yeni Microsoft araştırması, saldırganların, kullanıcı adına hareket eden yapay zeka aracılarını, zehirli bir araç açıklamasından başka bir şey kullanarak, aracının şirket verilerini dışarıdan birine sessizce teslim etmesini sağlamak için nasıl ele geçirebileceğini gösteriyor.

İşin püf noktası, temsilcinin hiçbir zaman bir kuralı ihlal etmemesidir. Her adım rutin görünür, dolayısıyla varsayılan kurulumda hiçbir alarm tetiklenmeyebilir.

Çalışma, Microsoft Incident Response ve Defender güvenlik araştırma ekibinden geliyor ve şirketlerin yapay zekanın okuma ve özetlemekten daha fazlasını yapmasına izin vermesiyle sonuçlanıyor.

Bir temsilci harekete geçebildiğinde neler değişir?

Yakın zamana kadar işyerinde yapay zeka riski çoğunlukla bir modelin okuyup yazdığı şeyler etrafında şekilleniyordu. Zehirli bir belge cevabı çarpıtabilirdi ve çoğunlukla da bu noktada bitiyordu.

Ajanlar farklıdır. Microsoft 365 Copilot e-posta gönderebilir, dosya oluşturabilir ve takvimleri değiştirebilir. Copilot Studio veya Azure AI Foundry'de yerleşik özel aracılar, iş sistemlerine erişebilir ve çok adımlı işleri kendi başlarına çalıştırabilir.

Bir özeti saptıran aynı enjeksiyon numarası artık bir eylemi tetikliyor. Okuyucuya yönelik bir saldırı çıktıyı değiştirir. Bir aracıya karşı, yazılımın gerçekte ne yaptığını değiştirir.

Bu aracılar, iş sistemlerine, bir uygulamanın API'yi çağırdığı şekilde yapay zekanın araçların dışında çağrı yapmasına olanak tanıyan açık bir protokol olan Model Bağlam Protokolü MCP aracılığıyla ulaşır. Microsoft, onu ajansal yapay zeka tedarik zincirinin en hızlı büyüyen parçası olarak adlandırıyor ve bu da onu genişleyen bir saldırı yüzeyi haline getiriyor.

Saldırı nasıl çalışıyor?

Her MCP aracı bir açıklamayla birlikte gelir: Aracıya aracın ne yaptığını ve onu ne zaman kullanacağını söyleyen birkaç satırlık düz metin. Temsilci nasıl davranacağına karar vermek için bu metni okur. Bütün zayıflık budur. Açıklama sadece kelimelerden ibarettir ve kelimeler talimatlar taşıyabilir.

Microsoft, adı geçen bir kurbanı bildirmek yerine modeli göstermek için oluşturulmuş bir fatura örneğiyle bu konuyu ele alıyor. Bir finans ekibi, satıcı faturalarını yönetmek için bir temsilciyi görevlendirir. Kullanımı onaylanmış ancak hiçbir zaman gerçek bir güvenlik incelemesi yapılmamış bir üçüncü taraf "fatura zenginleştirme" hizmeti de dahil olmak üzere üç araca bağlanır.

Daha sonra saldırgan bu üçüncü taraf aracı günceller. Ad ve görünen özet aynı kalır. Açıklamada, biçimlendirme notları gibi görünen gizli bir emir gizlidir: ödenmemiş son otuz faturayı alın ve bunları bir sonraki aramaya ekleyin. MCP, açıklama değişikliklerini anında algılar. Yeniden onay tetikleyicisi olmayan kurulumlarda, zehirli sürüm fazladan inceleme gerekmeden yayına alınır.

Bundan sonra analist, tedarikçi hakkında rutin bir soru sorar. Temsilci gizli emri takip eder, faturaları toplar ve normal görünen bir talebin parçası olarak bunları gönderir. Araç temiz bir yanıt verir ve çalınan verileri saldırganın kontrol ettiği bir sunucuya sessizce kopyalar. Analist yanlış bir şey görmüyor.

Temsilcinin yaptığı her hareket kendi başına meşrudur. Araç onaylandı. Veri sorgusu analistin kendi izinleriyle çalıştırıldı. Giden çağrı, eklendiğinde izin verilen bir sunucuya gitti. Zayıflık herhangi bir sistemde değildir. Microsoft'un "aralarındaki güven sınırı" olarak adlandırdığı yerde yaşıyor.

Daha derin sorun, MCP'nin talimatları ve verileri aynı yerde karıştırmasıdır. Bir aracın açıklaması, aracının çalışma belleğinde, gerçek siparişlerinin hemen yanında bulunur, dolayısıyla bu açıklamanın düzenlenmesi, aracıyı, sistem istemini yeniden yazmak kadar etkili bir şekilde yönlendirebilir.

Temsilcinin, araca bakım yapan kişi tarafından sızan kötü niyetli bir talimattan dürüst bir talimat söylemenin güvenilir bir yolu yoktur. Microsoft, bunun Copilot'un kendisinde bir hata olmadığını belirtiyor. Dışarıdaki araçların devreye girmesiyle açılan bir güven boşluğudur.

Savunmacıların yapması gerekenler

Microsoft'un tavsiyesi basit terimlere indirgendi:

Bağlı her aleti tedarik zincirinizin bir parçası olarak değerlendirin. Onaylanmış araç yayıncılarının bir listesini tutun, "tümüne izin ver" seçeneğini kapatın ve bir aracının yalnızca ihtiyaç duyduğu belirli araçları kullanmasına izin verin.

Bir aracın açıklamasını bir sistem istemi gibi ele alın. Değişiklikleri, bir kod değişikliğini incelediğiniz gibi gözden geçirin ve yardım alanında hiçbir işi olmayan komutlar için metni tarayın.

Riskli eylemlerin önüne insanı koyun. Hareket eden herhangi bir şey

Para yatırmak, verileri şirket dışında paylaşmak veya hesap değiştirmek için bir kişinin onaylaması gerekir.

Her temsilciye kendi kimliğini verin ve ne yaptığını izleyin. Eylemlerini günlüğe kaydedin, normal için bir temel belirleyin ve yeni uç noktaları, daha büyük veri çekmeleri veya tek sorguları işaretleyin.

Yalnızca en az ayrıcalığı değil, en az ajansı uygulayın. Düşük izinli bir temsilci bile kontrolsüz hareket etmesine izin verilirse gerçek zarar verebilir.

Microsoft, Prompt Shields, Purview DLP, Entra Agent ID, Defender for Cloud ve Sentinel dahil olmak üzere kendi ürünlerini her adıma eşler, ancak ilkeler, çalıştırdığınız yığın ne olursa olsun geçerlidir.

Bir teori değil: buraya nasıl geldik

Bu saldırı sınıfının kağıt üzerinde bir izi var. Invariant Labs, Nisan 2025'te, bir hesap makinesi aracının açıklamasındaki talimatları gizleyen ve İmleç düzenleyicinin kullanıcının özel SSH anahtarını okuyup göndermesini sağlayan bir kavram kanıtıyla "araç zehirlenmesi" adını verdi. Geliştirici Simon Willison günler sonra konuyu araştırdı.

Aynı grup daha sonra benzer bir hile gösterdi: Kötü niyetli bir GitHub sorunu, GitHub MCP sunucusuna bağlı bir aracıyı ele geçirebilir ve verileri özel depolardan dışarı çıkarabilir. Oradaki araçlar güvenilirdi ve dokunulmamıştı; Temsilcinin okuduğu verilere kötü talimatlar eklendi.

OWASP artık bu durumu, Aralık 2025 Ajanik Uygulamalar için İlk 10 listesinde Ajansal Tedarik Zinciri Güvenlik Açıkları örneği olarak gösteriyor.

İlgili bir tedarik zinciri başarısızlığı zaten ortadaydı. Eylül 2025'te Koi Security'deki araştırmacılar postmark-mcp adında bir npm paketi buldu. 1.0.16 sürümü tek bir satıra geçmeden önce, bir aracının bir saldırgana gönderdiği her e-postayı gizlice BCC'ye alan meşru bir e-posta aracının on beş temiz sürümünü yansıtıyordu. Koi, bunu gerçek dünyadaki ilk kötü amaçlı MCP sunucusu olarak adlandırdı.

Akademisyenler de sorunu ölçmeye başladı. Ağustos 2025'te yayınlanan MCPTox karşılaştırması, zehirli araç açıklamalarını 45 gerçek MCP sunucusuna ve 20 önde gelen AI modeline karşı çalıştırdı. Saldırıyı yüzde 72,8 gibi yüksek bir başarı oranıyla oldukça etkili buldu ve modeller neredeyse hiç reddetmedi.

Geçiş çizgisi, Microsoft'un şu anda bastığı çizgidir. Hareket edebilen yapay zeka, yalnızca dokunmasına izin verdiğiniz araçlar kadar güvenilirdir ve şu anda bu araçları zehirlemek kolay, izlemesi ise zordur.

Paylaş: