前情回顾·AI安全威胁态势
安全内参6月25日消息,AI代理为IT工单服务带来了巨大潜力,同时也引入了新的风险。
美国云安全公司Cato Networks的研究人员披露,知名研发软件厂商Atlassian推出的新型AI代理协议,可能被攻击者通过提示注入在Jira Service Management(JSM)中提交恶意支持工单。
研究人员将这一概念验证(PoC)攻击命名为“以AI为生”(Living off AI)攻击,并在最新发布的报告中详细阐述了该PoC攻击的技术概览。
MCP:日益流行的AI代理协议标准
2025年5月,Atlassian推出MCP服务器,将AI深度整合进企业工作流。
MCP(模型上下文协议)是一项开放标准,由美国知名大模型公司Anthropic(Claude出品方)于2024年11月首次发布。MCP服务器用于管理并利用大模型运行过程中的上下文信息。
MCP的架构由本地运行的MCP主机和多个MCP服务器组成。充当代理的主机可以是AI驱动的应用程序(如Claude桌面版)、设备上的大模型(如Claude Sonnet),或集成开发环境(如Visual Studio)。
Atlassian MCP服务支持多项AI驱动的功能,包括在JSM与Confluence中生成工单摘要、自动回复、分类及智能推荐等。
它还允许支持工程师和内部用户通过原生界面直接与AI交互。
“以AI为生”攻击解析
研究人员利用Atlassian的MCP资产对Atlassian JSM发起PoC攻击,演示匿名外部用户如何通过JSM执行一系列恶意操作,包括:
通过提交工单触发Atlassian MCP交互,随后由使用Claude Sonnet等MCP工具的支持工程师处理,从而自动激活恶意流程;
引导支持工程师在毫不知情的情况下,借助Atlassian MCP执行注入指令;
访问JSM中原本对外部威胁者隐藏的内部租户数据;
通过将提取的数据写回工单本身,实现对与支持工程师关联租户的数据窃取。
典型攻击链如下:
外部用户提交经过精心构造的支持工单;
与租户关联的内部代理或自动化工具调用连接至MCP的AI操作;
工单中的提示注入有效载荷在内部权限下被执行;
数据被提取至威胁者的工单,或在内部系统中遭到篡改;
若缺乏沙箱或验证机制,威胁者即可借内部用户之手获得全面访问权限。
研究人员指出:“值得注意的是,在本次PoC演示中,威胁者从未直接访问Atlassian MCP。真正执行恶意指令的是毫不知情的支持工程师,他们被充当成了代理。”
图:通过Jira Service Management进行的提示注入
尽管本次攻击演示以Atlassian为例,Cato研究人员认为,任何在处理不受信输入时缺乏提示隔离或上下文控制的AI环境均面临同样风险。
他们补充道:“我们展示的风险并非某一家厂商独有,而是一种通用模式。一旦外部输入流在MCP中得不到控制,威胁者就能滥用此路径,在无需身份验证的情况下获得特权访问。”
“许多企业或已采用类似架构,将MCP服务器联通外部系统与内部AI逻辑,以提升工作流效率和自动化水平。此类设计模式带来全新的风险,必须严肃对待。”
缓解措施建议
研究人员建议,如要预防或缓解此类攻击,应制定规则,阻止或告警所有远程MCP工具调用(如创建、新增或编辑操作)。
此举可帮助用户:
在AI驱动操作中贯彻最小权限原则;
实时监测可疑提示的使用;
保持全网MCP活动的审计日志。
在该报告发布前几天,协同办公平台Asana宣布其MCP服务器存在漏洞,致使客户数据被暴露给其他组织。
参考资料:https://www.infosecurity-magazine.com/news/atlassian-ai-agent-mcp-attack/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
