AI-агенты в Web3 под угрозой из-за уязвимостей MCP и A2A

С распространением технологий больших языковых моделей (LLM) и интеллектуальных агентов усилился интерес к их интеграции в Web3. Протоколы вроде Model Context Protocol (MCP) и Agent-to-Agent Protocol (A2A) используются для взаимодействия ИИ с внешними сервисами и друг с другом. Однако отсутствие четких стандартов безопасности делает их уязвимыми для атак.

MCP обеспечивает подключение AI-приложений к внешним инструментам, включая криптокошельки и биржи. Это включает в себя сервер, клиент и хост-компоненты. Протокол A2A, находящийся в более ранней стадии развития, определяет, как агенты обмениваются задачами между собой. Оба используют RPC-архитектуру, но не имеют встроенных механизмов защиты.

Один из основных рисков — подмена имени серверов и агентов (name spoofing). Злоумышленники могут создать похожие адреса (к примеру, с незначительными изменениями в названии), чтобы обмануть AI-агентов и получить доступ к конфиденциальным данным или выполнить вредоносные команды.

Другой тип атак — «отравление» контекста. Злоумышленники внедряют вредоносные инструкции в описания инструментов, которые затем интерпретируются моделью как безопасные действия. Это может привести к раскрытию SSH-ключей, файлов конфигурации и другой чувствительной информации.

Популярный метод атаки — развертывание «доброжелательных» MCP-сервисов, которые накапливают доверие пользователей, а затем внезапно внедряют вредоносный код. Такое поведение трудно обнаружить, особенно в системах без контроля версий и проверки целостности.

Компания Beosin советует внедрять OAuth 2.1 для аутентификации между клиентом и сервером, блокировать версии инструментов, использовать хеши для проверки подлинности и реализовать UI с прозрачным отображением параметров. Также необходимо фильтровать ввод и вывод на предмет вредоносных операций и скрытых команд.

MCP и A2A могут стать основой для DeFAI — децентрализованных AI-систем в финансовом секторе. Но без четких протоколов безопасности эти технологии остаются мишенью для атак. Прозрачность, контроль версий и строгая валидация — ключ к защите криптовалютных активов в AI-среде.