MCP-protocol beveiligingsaudit onthult kritieke kwetsbaarheden, prompt-injectie omzeilt 12 LLM-beveiligingen, agentische DAST overtreft pentesters
Trail of Bits en NCC Group leggen tool-chain-vergiftiging bloot in Anthropics MCP-protocol. ETH Zurichs CRESCENDO-2 omzeilt beveiligingen in 12 grote LLM's. Stanford: AI-agenten overtreffen menselijke pentesters. AI-supply chain-aanvallen +340%.
🔴 Kritiek: MCP-protocol beveiligingsaudit onthult tool-chain-vergiftiging
Een uitgebreide beveiligingsaudit van Anthropics Model Context Protocol (MCP) — inmiddels geadopteerd door meer dan 40.000 AI-agent-implementaties — onthult kwetsbaarheden waarmee aanvallers tool-beschrijvingen kunnen manipuleren, kwaadaardige instructies via parameterschema's kunnen injecteren en de besluitvorming van agenten kunnen kapen.
Tool Description Injection (TDI)
Onderzoekers bereikten een slagingspercentage van 94% bij het omleiden van agentgedrag via vijandige instructies in toolbeschrijvingen.
Schema-parameter-smokkel
JSON Schema-velden worden door het LLM geconsumeerd maar zelden gevalideerd, waardoor gevoelige data geëxfiltreerd kan worden.
🔴 Kritiek: Universele prompt-injectie omzeilt 12 grote LLM-beveiligingen
ETH Zurichs CRESCENDO-2 omzeilt systematisch de beveiligingsmechanismen in 12 grote LLM-systemen met een gemiddeld slagingspercentage van 78%.
- Omzeilingspercentage: 78% gemiddeld over 12 modellen
- Detectie-ontwijking: Slechts 12% gedetecteerd
- Overdraagbaarheid: 45% succes tussen modellen
🟠 Hoog: Agentische DAST overtreft handmatige pentesters in Stanford-studie
| Metriek | Menselijke pentesters (gem.) | Agentische DAST (beste) | Agentische DAST (gem.) |
|---|---|---|---|
| Gevonden kwetsbaarheden (van 20) | 14,2 | 17 | 15,8 |
| Benodigde tijd | 8,5 uur | 47 minuten | 1,2 uur |
| Bedrijfslogica-fouten | 4,8 van 5 | 2 van 5 | 1,4 van 5 |
Kernpunt: Het hybride mens-AI-model vond 19,1 van 20 kwetsbaarheden — 35% meer dan mensen alleen.
🟡 Onderzoek: Aanvallen op AI-modeltoeleveringsketens stijgen 340%
- Hugging Face typosquatting: 847 kwaadaardige repositories
- PyPI-vergiftiging: 1.243 kwaadaardige pakketten
- Gradient-bestandsexploits: Vervormde SafeTensors en GGUF-bestanden
🟡 Opkomend: Zero-knowledge-bewijzen voor AI-audittrails
Bedrijven adopteren ZKP-systemen voor verifieerbare AI-audittrails zonder eigendomsdetails bloot te leggen, gedreven door de EU AI Act transparantie-eisen.
Kensai-aanbevelingen
- AI/ML-teams met MCP: Audit alle verbonden MCP-servers onmiddellijk
- Enterprise LLM-implementaties: Implementeer output-filtering en deterministische actie-autorisatie
- Beveiligingsteams: Adopteer hybride mens-AI-pentesting
- ML-operaties: Supply chain-beveiliging voor modelregisters
- Compliance-teams: Evalueer ZKP-oplossingen voor de EU AI Act