Il tallone d’Achille dell’IA: le falle dei server MCP minacciano la sicurezza dei dati in tutte le imprese

È iniziato come un audace salto verso l’interoperabilità dell’IA: il Model Context Protocol (MCP), lanciato da Anthropic a fine 2024, prometteva di collegare senza attriti le app di IA con sistemi esterni - da Slack ai database aziendali. Ma mentre le imprese si affrettavano ad adottare questo standard open source, in pochi avevano previsto che sarebbe diventato una miniera d’oro per i criminali informatici, abilitando una nuova generazione di attacchi machine-in-the-middle che minacciano proprio i dati che MCP era nato per valorizzare.

Dentro l’attacco: come la promessa di MCP è diventata un pericolo

Il Model Context Protocol è stato progettato per essere il tessuto connettivo tra gli assistenti IA e il mondo reale. Consentendo agli agenti IA di usare “strumenti” sui server MCP - come leggere messaggi Slack o modificare database - il protocollo ha spalancato la porta a un’automazione e a una produttività senza precedenti. Tuttavia, nella corsa all’integrazione, la sicurezza è passata in secondo piano.

L’ultima ricerca di Praetorian, condotta con il loro toolkit personalizzato MCPHammer, mostra senza filtri come questi server possano essere trasformati in armi. Gli attaccanti allestiscono server MCP locali canaglia sulla macchina dell’utente che, combinati con server remoti legittimi (pensate a Slack o Notion), creano la tempesta perfetta: accesso a dati fidati che incontra esecuzione di codice senza controlli. In una dimostrazione, un post Slack apparentemente innocuo nascondeva un comando codificato in base64. Una volta che l’assistente IA recuperava il messaggio, il server locale malevolo eseguiva silenziosamente il codice - aprendo Calcolatrice come proof-of-concept, ma facilmente sostituibile con ransomware o spyware.

Nemmeno gli strumenti “sola lettura” sono un rifugio sicuro. Concatenando strumenti ed exploitando le routine di configurazione, gli attaccanti possono innescare attacchi zero-click: download di malware camuffati da inizializzazioni benigne, esfiltrazione di dati tramite token hardcoded e persino attacchi alla supply chain attraverso pacchetti Python compromessi. L’avvelenamento delle risposte - l’iniezione di false istruzioni IT o link di phishing nelle risposte generate dall’IA - trasforma bot utili in complici inconsapevoli.

Il vero pericolo risiede nel modello di fiducia del protocollo. Con permessi spesso impostati su “consenti sempre” e integrazioni date per innocue, gli attaccanti operano nell’ombra. Spesso non resta alcuna traccia nei log delle chat e i team di sicurezza potrebbero non sospettare che i loro aiutanti IA stiano facendo trapelare segreti, credenziali o file sensibili.

Cosa succede ora: mettere in sicurezza la supply chain dell’IA

Gli esperti esortano le organizzazioni a trattare ogni server MCP - interno o esterno - come un potenziale avversario. Una revisione rigorosa di tutte le integrazioni IA, controlli severi sui permessi e un monitoraggio continuo dei flussi di dati sono ormai essenziali. Le imprese devono anche formare il personale sui rischi della concatenazione degli strumenti e della compromissione della supply chain, perché anche piccole errate configurazioni possono avere conseguenze catastrofiche.

Mentre l’IA consolida il suo ruolo nel luogo di lavoro digitale, la vicenda MCP è un monito netto: nell’era dell’automazione, la fiducia è una vulnerabilità. La corsa a connettere non deve avvenire a scapito della sicurezza - o la prossima violazione potrebbe essere a un solo comando in chat di distanza.

WIKICROOK

• Esecuzione di codice da remoto: L’esecuzione di codice da remoto consente agli attaccanti di eseguire comandi sul tuo computer a distanza, spesso portando alla compromissione completa del sistema e al furto di dati.
• Macchina: Una macchina è un dispositivo o un computer che elabora dati e può comunicare automaticamente con altre macchine, consentendo uno scambio di informazioni rapido e automatizzato.
• Attacco alla supply chain: Un attacco alla supply chain è un attacco informatico che compromette fornitori di software o hardware considerati affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
• Codifica Base64: La codifica Base64 converte i dati in una stringa di testo leggibile, rendendo più semplice incorporare o trasferire file e codice all’interno di sistemi basati su testo.
• Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, per la quale non esiste alcuna correzione disponibile, rendendola altamente preziosa e pericolosa per gli attaccanti.