Les experts en sécurité de JFrog ont découvert une menace de « détournement rapide » qui exploite les points faibles de la façon dont les systèmes d’IA communiquent entre eux à l’aide du MCP (Model Context Protocol).
Les chefs d’entreprise souhaitent rendre l’IA plus utile en utilisant directement les données et les outils de l’entreprise. Mais connecter l’IA de cette manière ouvre également de nouveaux risques de sécurité, non pas dans l’IA elle-même, mais dans la façon dont tout est connecté. Cela signifie que les DSI et les RSSI doivent réfléchir à un nouveau problème : assurer la sécurité du flux de données qui alimente l’IA, tout comme ils protègent l’IA elle-même.
Pourquoi les attaques d’IA ciblant des protocoles comme MCP sont si dangereuses
Les modèles d’IA, qu’ils soient sur Google, Amazon ou sur des appareils locaux, ont un problème fondamental : ils ne savent pas ce qui se passe en ce moment. Ils savent seulement sur quoi ils ont été formés. Ils ne savent pas sur quel code travaille un programmeur ni ce que contient un fichier sur un ordinateur.
Les experts d’Anthropic ont créé le MCP pour résoudre ce problème. MCP est un moyen pour l’IA de se connecter au monde réel, lui permettant d’utiliser en toute sécurité les données locales et les services en ligne. C’est ce qui permet à un assistant comme Claude de comprendre ce que cela signifie lorsque vous pointez un bout de code et lui demandez de le retravailler.
Cependant, les recherches de JFrog montrent qu’une certaine manière d’utiliser MCP présente une faiblesse de détournement rapide qui peut transformer cet outil d’IA de rêve en un problème de sécurité cauchemardesque.
Imaginez qu’un programmeur demande à un assistant IA de recommander un outil Python standard pour travailler avec des images. L’IA devrait suggérer Oreillerce qui est un bon choix populaire. Mais, à cause d’une faille (CVE-2025-6515) dans le avoinepp-mcp système, quelqu’un pourrait se faufiler dans la session de l’utilisateur. Ils pourraient envoyer leur propre fausse demande et le serveur la traiterait comme si elle provenait du véritable utilisateur.
Ainsi, le programmeur reçoit une mauvaise suggestion de l’assistant IA lui recommandant un faux outil appelé theBestImageProcessingPackage. Il s’agit d’une grave attaque contre la chaîne d’approvisionnement en logiciels. Quelqu’un pourrait utiliser ce détournement d’invite pour injecter du mauvais code, voler des données ou exécuter des commandes, tout en ressemblant à une partie utile de la boîte à outils du programmeur.
Comment fonctionne cette attaque de détournement d’invite MCP
Cette attaque de détournement rapide perturbe la façon dont le système communique à l’aide de MCP, plutôt que la sécurité de l’IA elle-même. La faiblesse spécifique a été trouvée dans la configuration MCP du système Oat++ C++, qui connecte les programmes au standard MCP.
Le problème réside dans la façon dont le système gère les connexions à l’aide des événements envoyés par le serveur (SSE). Lorsqu’un utilisateur réel se connecte, le serveur lui donne un identifiant de session. Cependant, la fonction défectueuse utilise l’adresse mémoire de la session de l’ordinateur comme identifiant de session. Cela va à l’encontre de la règle du protocole selon laquelle les identifiants de session doivent être uniques et sécurisés cryptographiquement.
Il s’agit d’une mauvaise conception car les ordinateurs réutilisent souvent les adresses mémoire pour économiser des ressources. Un attaquant peut en profiter en créant et en fermant rapidement de nombreuses sessions pour enregistrer ces ID de session prévisibles. Plus tard, lorsqu’un utilisateur réel se connectera, il pourra obtenir l’un de ces identifiants recyclés que l’attaquant possède déjà.
Une fois que l’attaquant dispose d’un identifiant de session valide, il peut envoyer ses propres requêtes au serveur. Le serveur ne peut pas faire la différence entre l’attaquant et l’utilisateur réel, il renvoie donc les réponses malveillantes à la connexion de l’utilisateur réel.
Même si certains programmes n’acceptent que certaines réponses, les attaquants peuvent souvent contourner ce problème en envoyant de nombreux messages avec des numéros d’événement communs jusqu’à ce que l’un d’entre eux soit accepté. Cela permet à l’attaquant de perturber le comportement du modèle sans modifier le modèle d’IA lui-même. Toute entreprise utilisant avoinepp-mcp avec HTTP SSE activé sur un réseau auquel un attaquant peut accéder est en danger.
Que doivent faire les responsables de la sécurité de l’IA ?
La découverte de cette attaque de détournement d’invite MCP est un sérieux avertissement pour tous les leaders technologiques, en particulier les RSSI et les CTO, qui créent ou utilisent des assistants IA. À mesure que l’IA fait de plus en plus partie de nos flux de travail grâce à des protocoles tels que MCP, elle présente également de nouveaux risques. Assurer la sécurité de la zone autour de l’IA est désormais une priorité absolue.
Même si ce CVE spécifique affecte un système, l’idée d’un détournement rapide est générale. Pour se protéger contre cette attaque et contre d’autres attaques similaires, les dirigeants doivent définir de nouvelles règles pour leurs systèmes d’IA.
Tout d’abord, assurez-vous que tous les services d’IA utilisent une gestion de session sécurisée. Les équipes de développement doivent s’assurer que les serveurs créent des identifiants de session à l’aide de générateurs aléatoires puissants. Cela devrait être un incontournable sur toute liste de contrôle de sécurité pour les programmes d’IA. Utiliser des identifiants prévisibles comme des adresses mémoire n’est pas acceptable.
Deuxièmement, renforcez les défenses du côté des utilisateurs. Les programmes clients doivent être conçus pour rejeter tout événement qui ne correspond pas aux ID et types attendus. Les identifiants d’événements simples et incrémentiels risquent d’être attaqués par pulvérisation et doivent être remplacés par des identifiants imprévisibles qui n’entrent pas en collision.
Enfin, utilisez les principes de confiance zéro pour les protocoles d’IA. Les équipes de sécurité doivent vérifier l’ensemble de la configuration de l’IA, du modèle de base aux protocoles et middleware qui la connectent aux données. Ces canaux nécessitent une forte séparation et expiration des sessions, comme la gestion des sessions utilisée dans les applications Web.
Cette attaque de détournement d’invite MCP est un exemple parfait de la manière dont un problème connu d’application Web, le détournement de session, apparaît d’une manière nouvelle et dangereuse dans l’IA. Sécuriser ces nouveaux outils d’IA signifie appliquer ces bases de sécurité solides pour stopper les attaques au niveau du protocole.
