AI-агенты в криптоиндустрии все чаще внедряются в кошельки, торговые боты и onchain-ассистенты, автоматизируя задачи и принимая решения в реальном времени.
Хотя стандартного фреймворка пока нет, протокол контекста модели (Model Context Protocol, MCP) становится основой для многих из этих агентов. Если блокчейны имеют смарт-контракты для определения что должно произойти, то AI-агенты используют MCP для определения как это должно произойти.
MCP может выступать в роли управляющего слоя, который контролирует поведение AI-агента, например, какие инструменты он использует, какой код запускает и как реагирует на действия пользователя.
Однако именно эта гибкость создает мощную поверхность атаки, которая позволяет вредоносным плагинам перехватывать команды, подменять входные данные или обманом заставлять агентов выполнять вредоносные инструкции.
Векторы атак MCP выявляют проблемы безопасности AI-агентов
По данным VanEck, к концу 2024 года количество AI-агентов в криптоиндустрии превысило 10 000 и, по прогнозам, превысит 1 миллион в 2025 году.
Компания SlowMist обнаружила четыре потенциальных вектора атак, о которых разработчикам следует знать. Каждый вектор атаки осуществляется через плагин, который позволяет MCP-агентам расширять свои возможности, будь то получение данных о ценах, выполнение сделок или выполнение системных задач.
-
Отравление данных (Data poisoning): Эта атака заставляет пользователей выполнять вводящие в заблуждение действия, манипулирует их поведением, создает ложные зависимости и внедряет вредоносную логику на ранних этапах процесса.
-
JSON-инъекция: Этот плагин получает данные из локального (потенциально вредоносного) источника через JSON-запрос. Это может привести к утечке данных, манипулированию командами или обходу механизмов проверки путем предоставления агенту скомпрометированных входных данных.
-
Переопределение конкурентной функции (Competitive function override): Эта техника переопределяет легитимные системные функции вредоносным кодом, предотвращая выполнение ожидаемых операций и внедряя замаскированные инструкции, нарушая логику системы и скрывая атаку.
-
Атака меж-MCP вызова (Cross-MCP call attack): Этот плагин заставляет AI-агента взаимодействовать с непроверенными внешними сервисами через закодированные сообщения об ошибках или обманчивые запросы. Это расширяет поверхность атаки за счет связи нескольких систем, создавая возможности для дальнейшей эксплуатации.
Эти векторы атак не являются синонимом отравления самих AI-моделей, таких как GPT-4 или Claude, которое может включать в себя повреждение обучающих данных, формирующих внутренние параметры модели. Атаки, продемонстрированные SlowMist, направлены на AI-агентов — системы, построенные на основе моделей, которые используют входные данные в реальном времени с помощью плагинов, инструментов и протоколов управления, таких как MCP.
"Отравление AI-модели включает в себя внедрение вредоносных данных в обучающие примеры, которые затем встраиваются в параметры модели", — рассказал сооснователь компании по безопасности блокчейнов SlowMist "Monster Z" изданию Cointelegraph. "В отличие от этого, отравление агентов и MCP в основном связано с дополнительной вредоносной информацией, вводимой во время фазы взаимодействия модели."
“Лично я считаю, что [уровень угрозы от отравления агентов] и объем привилегий выше, чем у самостоятельного отравления AI", — добавил он.
MCP в AI-агентах — угроза для криптоиндустрии
Внедрение MCP и AI-агентов в криптоиндустрии — относительно новое явление. SlowMist выявила эти векторы атак в ходе аудита предварительных релизов проектов MCP, что позволило предотвратить фактические потери для конечных пользователей.
Однако уровень угрозы уязвимостей безопасности MCP вполне реален, по словам Monster, который вспомнил аудит, в результате которого уязвимость могла привести к утечке приватных ключей — катастрофическому развитию событий для любого криптопроекта или инвестора, поскольку это могло предоставить полный контроль над активами несанкционированным лицам.
“Как только вы открываете свою систему для сторонних плагинов, вы расширяете поверхность атаки за пределы своего контроля", — заявил Гай Ицхаки, генеральный директор исследовательской фирмы в области шифрования Fhenix, изданию Cointelegraph.
“Плагины могут выступать в качестве путей для выполнения доверенного кода, часто без надлежащей изоляции. Это открывает дверь для повышения привилегий, внедрения зависимостей, переопределения функций и, что хуже всего, — бесшумной утечки данных”, — добавил он.
Обеспечение безопасности AI-уровня, прежде чем станет слишком поздно
Создавай быстро, ломай вещи — а затем становись жертвой взлома. Это риск, с которым сталкиваются разработчики, которые откладывают вопросы безопасности на вторую версию, особенно в высокорискованной onchain-среде криптоиндустрии.
Самая распространенная ошибка, которую совершают разработчики, — это предположение, что они смогут какое-то время оставаться незамеченными и внедрять меры безопасности на более поздних этапах после запуска. Так утверждает Лиза Лауд, исполнительный директор Secret Foundation.
“При создании любой плагин-системы, особенно в контексте криптоиндустрии, которая является публичной и onchain, необходимо сначала строить безопасность и только потом все остальное", — заявила она изданию Cointelegraph.
Эксперты по безопасности SlowMist рекомендуют разработчикам внедрять строгую проверку плагинов, обеспечивать очистку входных данных, применять принцип наименьших привилегий и регулярно проверять поведение агентов.
Лауд заявила, что внедрение таких проверок безопасности для предотвращения вредоносных внедрений или отравления данных “несложно”, а лишь “трудоемко и занимает много времени” — небольшая цена за обеспечение безопасности криптоактивов.
По мере расширения охвата AI-агентов в инфраструктуре криптоиндустрии необходимость в упреждающей безопасности нельзя переоценить.
Фреймворк MCP может открыть новые мощные возможности для этих агентов, но без надежных механизмов защиты вокруг плагинов и поведения системы они могут превратиться из полезных помощников в векторы атак, ставя под угрозу криптокошельки, фонды и данные.
