اگر تصور میکنید دادههای سازمانی شما صرفاً به دلیل استفاده از سرویسهای AWS یا Azure در امان است، در اشتباهی مرگبار هستید. باید بدانید که سرعت پذیرش پروتکل زمینه مدل (Model Context Protocol - MCP) یک خلأ امنیتی سیستمی ایجاد کرده که دادههای حساس شرکتها را در معرض خطر قرار داده است.
به نقل از گزارشی که در ۳۰ آوریل ۲۰۲۶ توسط Pico منتشر شد، اکوسیستم MCP از دستهای از آسیبپذیریهای تکراری رنج میبرد؛ جایی که توسعهدهندگان بهطور کورکورانه به ورودیهای تولیدشده توسط هوش مصنوعی زاینده (Generative AI) اعتماد میکنند. تکاندهندهترین یافته این بازرسی، ظهور پدیدهای به نام «زنجیرهسازی اقدام» (Action Chaining) است. طبق گزارش Palo Alto Unit42، در سناریویی با تنها ۵ سرور MCP متصل، یک سرورِ به-تأیید-نرسیده میتواند با استفاده از این روش، به نرخ موفقیت ۷۸.۳ درصدی در حملات دست یابد.
آسیبپذیریهای شناساییشده در چهار دسته اصلی قرار میگیرند:
- تزریق SQL (SQL Injection) از طریق دور زدن پیشوندها: سرورهایی مانند executeautomation/mcp-database-server با امتیاز CVSS ۸.۸، نتوانستند جلوی زنجیرهسازی دستورات با علامت سمیکولون را بگیرند.
- دور زدن Regex: سرور ClickHouse/mcp-clickhouse با امتیاز CVSS ۸.۱، با استفاده از کامنتهای سبک C (مانند
DROP/**/TABLE) دور زده شد. - جعل درخواست سمت سرور (Server-Side Request Forgery - SSRF): بررسی BlueRock روی ۷,۰۰۰ سرور نشان داد ۳۶.۷ درصد آنها آسیبپذیر هستند و اجازه دسترسی عامل (Agent) به پنلهای مدیریتی داخلی را میدهند.
- زنجیرهسازی اقدام: یک نقص رفتاری که در آن عامل ابتدا فایلی حساس را میخواند و سپس آن را از طریق یک درخواست HTTP POST بیضرر، به بیرون منتقل میکند.
همانطور که در تحلیلهای پیشین ما دربارهی امنیت مدلهای عاملمحور (Agentic) اشاره کردیم، تکیه بر لایههای امنیتی سطحی هرگز کافی نیست. این شکستها حتی در غولهای فناوری نیز دیده میشود؛ سرور MCP شرکت AWS (CVE-2026-5058) دچار اجرای کد از راه دور (RCE) با امتیاز ۹.۰ شد و پیادهسازی Azure (CVE-2026-32211) اجازه دسترسی بدون احراز هویت را میداد.
به همین دلیل، توسعهدهندگان باید از بررسیهای لایهی اپلیکیشن فراتر رفته و دسترسیهای «فقط خواندنی» (Read-only) را در سطح دیتابیس اجباری کنند. همچنین، OX Security دریافت که ۹ مورد از ۱۱ بازارچه MCP، سرورهای «مسموم» را پذیرفتهاند که ثابت میکند بررسیهای استاتیک دیگر کارساز نیستند.
اما این آسیبپذیریها تنها بخشی از یک بحران بزرگتر است؛ تأثیر قوانین جدید اتحادیه اروپا بر این اکوسیستم را در گزارش بعدی بررسی خواهیم کرد.
گام بعدی شما
- دسترسیهای دیتابیس متصل به MCP را فوراً به حالت Read-only تغییر دهید.
- به جای بررسی استاتیک، سیستمهای نظارت رفتاری (Behavioral Monitoring) را برای شناسایی ناهنجاری در فراخوانی ابزارها پیاده کنید.
- از نصب سرورهای MCP ناشناس از بازارچههای غیررسمی خودداری کنید.
گفتگو