HTB Season 10: Уязвимость MCP-инструментов для AI-серверов открывает новый attack surface

Экосистема MCP (Model Context Protocol) становится новым вектором атак для хакеров. Разбор машины Kobold из HTB Season 10 демонстрирует, как инструменты разработки для AI-серверов превращаются в точку входа. Атака начинается с эксплуатации уязвимости удаленного выполнения кода (RCE) через MCP Inspector — dev-тулзу, предназначенную для отладки. Этот начальный доступ открывает путь к более глубокому проникновению в систему.

После получения RCE злоумышленник использует уязвимость Local File Inclusion (LFI) внутри контейнера для кражи чувствительных данных. Далее следует классическая атака с повторным использованием учетных данных (credential reuse), что позволяет эскалировать привилегии внутри Docker-окружения. В разборе представлены два независимых пути для получения прав root, а также подробное сопоставление этапов атаки с тактиками MITRE ATT&CK, что подчеркивает методичность эксплуатации.

Инцидент служит четким предупреждением для разработчиков и DevOps-инженеров, работающих с AI-инфраструктурой. MCP-инструменты, созданные для упрощения работы с моделями, при недостаточной защите становятся критически опасным attack surface. Это повышает риски для компаний, активно внедряющих AI-сервисы, и требует пересмотра практик безопасности вокруг вспомогательного инструментария для машинного обучения.