Smithery'deki 100 MCP Sunucusunun 22'sinde Güvenlik Açığı Tespit Edildi

Yapay zeka çağında, aracı sistemlerin güvenliği kritik önem taşıyor. Yakın zamanda yapılan bir araştırma, popüler bir Model Connect Protocol (MCP) kayıt sistemindeki sunucuların önemli bir bölümünde güvenlik açıkları bulunduğunu ortaya koydu. Bu bulgular, hem geliştiricilerin hem de kullanıcıların dikkatini çekmeyi başardı.

Araştırmanın Arka Planı: Bawbel ve MCP Ekosistemi

Bawbel, açık kaynaklı bir tarayıcı olarak tanımlanıyor ve aracı yapay zeka bileşenlerinin güvenliğini denetlemek amacıyla geliştirildi. Geçtiğimiz hafta yayınlanan v1.0.1 sürümü, geliştiricilerin karşılaşabileceği güvenlik tehditlerini daha iyi anlamak için önemli bir adım olarak görülüyor. Araştırmacılar, tarayıcının ilk yayınlanmasından önce, gerçek dünyadaki MCP sunucularının ne kadar güvenli olduğunu ölçmek istediler. Bu amaçla, Smithery adlı popüler bir MCP kayıt sistemindeki en iyi 100 sunucu üzerinde kapsamlı bir tarama gerçekleştirdiler.

Tarama sonuçları, endüstri uzmanları arasında ciddi endişelere yol açtı. Toplam 100 sunucu taranırken, 22 sunucuda en az bir güvenlik açığı tespit edildi. Bu bulguların 28 farklı güvenlik sorunu içerdiği ve bunların 4'ünün kritik, 24'ünün ise yüksek riskli olduğu belirlendi. Başka bir deyişle, incelenen sunucuların yaklaşık beşte birinde ciddi güvenlik açıkları bulunuyordu.

Tespit Edilen Güvenlik Açıkları ve Riskler

Araçların ve sistemlerin güvenliği, yalnızca teknik özelliklerine değil, aynı zamanda nasıl kullanıldıklarına da bağlıdır. Bu araştırma, MCP sunucularında ortaya çıkan bazı yaygın güvenlik açıklarını detaylandırıyor. İşte en önemli bulgular:

1. En Sık Karşılaşılan Açık: Araç Açıklaması Enjeksiyonu

Araştırmada tespit edilen en yaygın güvenlik açığı, araç açıklaması enjeksiyonu olarak adlandırıldı. Bu açık, bir aracın açıklama alanına yerleştirilen talimatların, aracın davranışını manipüle etmek amacıyla kullanılmasına dayanıyor. Toplam 6 sunucuda bu tür bir açıklama tespit edildi.

Örnek olarak, Context7 adlı sunucu şu açıklamayı içeriyordu:

• "ÖNEMLİ: Lütfen..."

Google Sheets sunucusunda ise şu uyarı yer alıyordu:

• "UYARI: Lütfen kimlik doğrulama olmadan çağırmayınız..."

Bu tür açıklamaların, geliştiriciler tarafından insan kullanıcılara yönelik uyarılar olarak düşünüldüğü görülüyor. Ancak, aracı yapay zeka sistemleri bu açıklamaları gerçek talimatlar olarak algılayabiliyor ve bu da ciddi güvenlik risklerine yol açabiliyor.

2. Veri Sızdırma ve Kodlama Kalıpları

Dört sunucuda, araç çıktı sızdırma kodlama kalıpları tespit edildi. Bu açıklar, özellikle YARA kuralları kullanılarak belirlenebiliyor. Örneğin, Jina AI, troystack, Name Whisper ve bir gizli sunucu, bu tür kodlama kalıplarını içeriyordu. Söz konusu kalıplar, verilerin aracın yanıtlarından gizlice çıkarılmasına olanak tanıyabiliyor.

3. İçerik Türü Uyuşmazlığı

Altı sunucuda, içerik türü uyuşmazlığı problemi tespit edildi. Bu durum, özellikle .md uzantılı dosyaların aslında YAML formatında olmasıyla ortaya çıkıyor. Araştırmada kullanılan Magika motoru, bu tür uyuşmazlıkları yüksek doğrulukla tespit edebiliyor. Örneğin, Google Sheets, Slack, Exa Websets ve GitHub Code Search gibi popüler sunucularda bu tür uyuşmazlıklar bulundu.

4. Kişisel Veri Sızdırma Kalıpları

Üç sunucuda, kişisel veri sızdırma kalıpları tespit edildi. Örneğin, Exa Websets adlı sunucu, aracın CEO isimlerini çıkarmasını talep eden bir açıklama içeriyordu. Benzer şekilde, sbb-mcp sunucusunda doğum tarihi gibi hassas bilgilerin çıkarılması isteniyordu.

5. Diğer Önemli Bulgular

Araştırmada ayrıca, bağlam penceresini tüketme ve dinamik araç çağırma enjeksiyonu gibi ilginç bulgular da yer aldı. Örneğin, Blockscout MCP Server, aracın bağlam penceresini tüketmesine yönelik bir talimat içeriyordu. Bu tür talimatlar, aracın performansını olumsuz etkileyebilir ve sistemin istismar edilmesine yol açabilir.

Tarama Süreci ve Teknik Detaylar

Araştırmacılar, Smithery kayıt sistemindeki sunucuları tararken oldukça basit bir yöntem izlediler. Öncelikle, Smithery API'sine ücretsiz bir anahtarla erişim sağladılar ve ardından her bir sunucunun ayrıntılarını, araç isimlerini, açıklamalarını ve yapılandırmasını topladılar. Bu veriler, geçici dosyalara kaydedildi ve ardından Bawbel tarayıcısı kullanılarak analiz edildi.

Tarama süreci, aşağıdaki komutlarla gerçekleştirildi:

pip install requests "bawbel-scanner[all]"
export BAWBEL_SANDBOX_ENABLED=true
export ANTHROPIC_API_KEY=sk-ant-api03-....
bawbel version

export SMITHERY_API_KEY=your_key
python3 scan_smithery.py --limit 100 --output smithery_scan_results.json

Bu komutlar, araştırmacıların 100 sunucuya hızlı bir şekilde erişmesini ve her birinde olası güvenlik açıklarını tespit etmesini sağladı. Tarama sonuçları, her bir sunucunun temiz mi yoksa riskli mi olduğunu gösteren ayrıntılı bir rapor olarak sunuldu.

Gelecek İçin Öneriler ve Uyarılar

Bu araştırma, aracı yapay zeka bileşenlerinin güvenliğinin ne kadar kritik olduğunu bir kez daha ortaya koyuyor. MCP sunucularındaki güvenlik açıkları, hem geliştiricilerin hem de kullanıcıların dikkatini çekmeyi başardı. Gelecekte, bu tür açıkların tespit edilmesi ve giderilmesi için daha fazla araştırma ve geliştirme çalışmalarına ihtiyaç duyuluyor.

Geliştiricilerin, aracı yapay zeka bileşenlerini güvenli bir şekilde kullanabilmeleri için aşağıdaki önlemleri almaları önem taşıyor:

• Araç açıklamalarını dikkatlice inceleyin ve aracın davranışını manipüle edebilecek ifadelerden kaçının.
• Veri sızdırma kalıplarını tespit edin ve hassas verilerinizin güvenliğini sağlayın.
• İçerik türü uyuşmazlıklarını giderin ve dosya formatlarının doğru olduğundan emin olun.
• YARA kuralları ve benzeri araçları kullanarak güvenlik açıklarını tespit edin ve giderin.

Bu araştırma, yapay zeka çağında güvenliğin ne kadar önemli olduğunu bir kez daha gösteriyor. Gelecekte, bu tür çalışmaların artması ve daha fazla geliştirici ve kullanıcının bilinçlenmesi, daha güvenli bir dijital ortamın oluşmasına katkı sağlayacaktır.