Атака на ланцюг поставок Agentic AI

Що таке Атака на ланцюг поставок Agentic AI?

Уразливості агентського ланцюжка поставок отримали рейтинг ASI04 у рейтингу OWASP Top 10 для програм Agentic AI Applications 2026, оскільки сучасні агенти штучного інтелекту покладаються на динамічно завантажувані компоненти, зокрема плагіни, сервери MCP, визначення зовнішніх інструментів і шаблони підказок, будь-який з яких може бути скомпрометований, щоб змінити поведінку агента або викрасти дані під час виконання. На відміну від традиційних атак на ланцюг поставок програмного забезпечення, які вимагають модифікації скомпільованого коду, атаки на ланцюг поставок агентів можуть бути такими ж простими, як отруєння шаблону запиту або зміна схеми параметрів інструменту. У березні 2025 року дослідники з Invariant Labs розкрили вразливості в екосистемі Model Context Protocol, демонструючи, що зловмисні сервери MCP можуть виконувати атаки відстеження інструментів, перехоплюючи та модифікуючи виклики інструментів між агентами та законними службами без виявлення. У цій вправі ваша команда встановлює популярний сторонній плагін AI, який надає розширені можливості аналізу документів для вашого агента AI. Плагін пройшов усі перевірки безпеки поверхневого рівня, але він містить непомітний бекдор, який активується за певних умов. Ви спостерігатимете за зміною поведінки агента після завантаження плагіна, відстежуватимете, як скомпрометований компонент перехоплює дані, що проходять через агента, і визначайте механізм ексфільтрації, прихований у начебто звичайних викликах API. Вправа демонструє, чому перевірка компонентів виконання, моніторинг поведінки та сувора ізоляція між компонентами агента є важливими. Кожна команда, яка розгортає агентів ШІ за допомогою сторонніх інструментів, плагінів або серверів MCP, повинна розуміти, що кожен зовнішній компонент є потенційною точкою входу для зловмисників.

Що ви дізнаєтесь у Атака на ланцюг поставок Agentic AI

• Визначте унікальну поверхню для атаки, створену динамічно завантажуваними компонентами агента AI, включаючи плагіни, сервери MCP і визначення зовнішніх інструментів
• Проаналізуйте, як бекдорний плагін може перехоплювати, змінювати та вилучати дані, що проходять через конвеєр інструментів агента ШІ
• Оцінка компонентів штучного інтелекту сторонніх розробників на наявність індикаторів зламу, включаючи несподівані мережеві виклики, модифікації параметрів і зміни поведінки
• Розрізняйте законні функції плагінів і приховану зловмисну поведінку, вбудовану в розширення агента ШІ
• Застосовуйте методи безпеки ланцюга постачання, включаючи ізоляцію компонентів, перевірку цілісності та моніторинг поведінки до розгортання агентського штучного інтелекту

Атака на ланцюг поставок Agentic AI — Кроки навчання

1. Вектор ланцюга поставок

   Розгалужена версія популярного конектора бази даних з відкритим кодом знаходиться на робочій станції Боба. Він визначив конвеєр агентів AI CypherPeak як ціль — їхні агенти покладаються на сервери інструментів MCP для підключення до зовнішніх баз даних. Законний сервер клоновано, а прихований модуль ексфільтрації готовий до впровадження.

2. Розгалужений репозиторій

   Набір інструментів Боба показує оригінальне сховище з відкритим вихідним кодом разом із його модифікованим форком. Кількість модифікацій невелика — достатньо лише для впровадження модуля ексфільтрації, зберігаючи решту кодової бази ідентичною законній версії.

3. Введення бекдору

   Боб відкриває основний файл обробки сервера – код, який обробляє кожен запит до бази даних, що направляється через сервер MCP. Саме тут модуль ексфільтрації перехоплює та копіює всі результати запиту.

4. Механізм ексфільтрації

   Обробник виглядає як стандартний код сервера MCP з одним важливим доповненням: функцією під назвою _process_result , яка мовчки відображає кожен запит і його результати на зовнішню кінцеву точку. Ключ телеметрії та кінцева точка вказують на darkrelay.net, абсолютно не пов’язаний із заявленим видавцем сервера.

5. Публікація в Реєстрі

   Боб готує остаточний список: підроблені відгуки з нещодавно створених облікових записів, завищений лічильник завантажень і документація, скопійована з легітимної версії. Троянський сервер готовий до MCP marketplace.

6. Рекомендація колеги

   Ранок понеділка. Аліса планує оновити конвеєр даних за 3 квартал, коли її увагу привертає електронний лист від Маркуса — він знайшов сервер MCP, який може заощадити команді тижні роботи над розробкою.

7. Торговий майданчик MCP

   Аліса відкриває ринок MCP, щоб знайти сервер, рекомендований Маркусом. Торговий майданчик містить список доступних серверів інструментів, з’єднувачів баз даних та інтеграцій агентів від різних видавців.

8. Пошук DataBridge Pro

   Маркус конкретно згадав DataBridge Pro. Алісі потрібно знайти його серед перелічених серверів і переглянути його деталі перед встановленням.

9. Оцінка лістингу

   Крім підозрілих перевірок, виділяються ще два червоні прапорці: видавець «NexData Solutions» не має значка перевірки та інших інструментів у списку – особу неможливо перевірити незалежно Дозволи включають вихід із мережі та доступ до файлової системи – незвичайне для конектора бази даних, якому потрібен доступ лише для читання бази даних

10. Перевірка знань

    Перш ніж продовжити інсталяцію, подумайте про те, що ви помітили про список DataBridge Pro на ринку.