خطر حقيقي: كيفية تعامل إضافات Chrome مع خوادم MCP المحلية واستغلالها لاختراق النظام

الثقة في المحلي: ملحقات Chrome، بروتوكول MCP، وخطر الخروج من الحماية في الأسبوع الماضي، اكتشف نظامنا ملحقًا مشبوهًا لمتصفح Chrome يقوم بإرسال طلبات شبكة إلى localhost. على الرغم من عدم وجود أي علامات على السلوك الخبيث في الملحق نفسه، فقد كانت وجهة الطلبات مثيرة للقلق. كان الملحق يتحدث مع خادم محلي يُطبق بروتوكول Model Context Protocol (MCP)، وهو بروتوكول يستخدم لتوصيل الوكلاء الذكائيين بأدوات النظام ومصادر البيانات في الجهاز النهائي. بروتوكول MCP: مفتوح بال mặcмолت يتم التواصل بين عملاء MCP وخوادم MCP عبر طريقتين أساسيتين: الحدث المنبعث من الخادم (Server-Sent Events - SSE): يسمح لخادم MCP بالاتصال من خلال طلبات HTTP POST. المدخل والمخرج القياسي (Standard Input/Output - stdio): يتيح لخادم MCP التواصل من خلال المدخل والمخرج القياسي للعملية. عند تنفيذ خادم MCP، يمكن للمطور اختيار طريقة الاتصال. عادةً ما يتم ربط خادم MCP المحلي يعتمد على SSE بمنفذ على localhost، مما يجعله متاحًا للعمليات التي تعمل على نفس الجهاز (مثل عميل MCP). من المهم ملاحظة أن طبقات النقل نفسها لا تطبق ولا تتطلب أي آليات للمصادقة. يتعين على مطور خادم MCP تنفيذ ضوابط الوصول، ولكن في الممارسة العملية، تكاد تكون جميع خوادم MCP اليوم لا تفرض المصادقة بشكل افتراضي. الحماية، التقي بالسledgehammer مع فهم كيفية عمل خادم MCP المحلي القائم على SSE، وكونه متاحًا عمومًا للعمليات التي تعمل على نفس الجهاز، يمكننا العودة إلى السؤال: هل يمكن لملحق Chrome الوصول إليه أيضًا؟ التدفق التواصل هو بسيط نسبيًا: - قمنا بإعداد خادم MCP محلي قائم على SSE من mcp.so، واخترنا نسخة ملف نظام خاصة، والتي تتيح للوكلاء الذكائيين التفاعل مع نظام الملفات المحلي. - ثم بنينا ملحق Chrome يعمل في الخلفية ويريد الاتصال بـ localhost:3001، وهو المنفذ الأكثر شيوعًا لخوادم MCP المحلية القائمة على SSE. بالطبع، قد يختلف هذا المنفذ، لذا ستحتاج ملحق حقيقي إلىمسح المنافذ المحلية للعثور على حالة MCP النشطة. - الملحق حصل على معلومات الخادم واسترجع قائمة الأدوات وجرب تشغيل الأدوات التي يوفرها خادم MCP. ملحق Chrome كان لديه حق الوصول غير المقيد لأدوات خادم MCP — لم يكن هناك حاجة للمصادقة — وكان يتفاعل مع نظام الملفات كأنه جزء أساسي من القدرات المكشوفة للخادم. تأثير هذا الخطر كبير، حيث يفتح الباب للاستغلال الخبيث وتكميلية النظام. تكامل مع خادم MCP مختلف لم يكن التكامل مع خادم MCP مختلفًا يتطلب جهدًا كبيرًا، بفضل هدف تصميم البروتوكول: توفير واجهة موحدة للتفاعل مع خوادم MCP المختلفة، بغض النظر عن تنفيذها الأساسي. قمنا أيضًا بإعداد خادم MCP لـ Slack، وكان الملحق قادرًا على الوصول إليه والتفاعل مع وظائفه المكشوفة. هذه التجربة توضح خروجًا كاملًا من الحماية في هيكلية ملحقات Chrome. على الرغم من أن Google قد أدخلت إجراءات أمنية أكثر صرامة في عام 2023 لمنع المواقع من الوصول إلى شبكات المستخدمين الخاصة (مثل localhost، 192.168.x.x، إلخ) — وهي خطوة تهدف إلى حماية البنية التحتية الداخلية من الاستعلام أو الهجمات عبر النصوص الخبيثة التي تشغل على المواقع العامة. في سبتمبر 2023، تم إطلاق Chrome 117 الإصدار المستقر، مما ينهي فترة التجربة لإزالة الدعم. يمنع Chrome جميع طلبات الشبكة الخاصة من السياقات العامة، غير الآمنة. احتواء الفوضى منذ مقدمة بروتوكول MCP، اتسعت البيئة بسرعة، حيث يوجد آلاف الخوادم التي تقدم قدرات متنوعة. بينما يجلب هذا فرصًا قوية جديدة، فإنه أيضًا يُدخل مجموعات نامية من المخاطر الأمنية. كما تم توضيحه، يمكن لملحق Chrome بسيط، بدون أي صلاحيات خاصة، اختراق الحماية، الاتصال بخادم MCP محلي، وتنفيذ أفعال مميزة نيابة عن المستخدم. هذا يكسر فعليًا نموذج العزل الذي تم بناء الحماية المتصفحات عليه. ومع تكشف هذه الخوادم القدرة على الوصول إلى أدوات مثل نظام الملفات، Slack، أو WhatsApp دون فرض المصادقة، فإن الوضع يصبح أكثر خطورة من مجرد قلق نظري إلى تهديد يُهدد المؤسسات بأكملها. تقييم الحدث من قبل المختصين يُعتبر هذا الاكتشاف تحذيرًا مهمًا للأمان. يرى الخبراء أن بروتوكول MCP يُشكل سطح هجوم جديد تمامًا ومُستبعد بشكل خطير. غالبًا ما يتم نشر خوادم MCP في بيئات التطوير وأنظمة الإنتاج، غالبًا مع رقابة محدودة أو سياسات الوصول الصارمة. إذا ترك الأمر دون رقابة، فإنه يوفر بابًا خلفيًا مفتوحًا للنقاط النهائية، متجاوزًا الدفاعات التقليدية. يجب أن تصبح حوكمة استخدام MCP، تطبيق سياسات الوصول الصارمة، ومراقبة سلوك الملحقات أولويات غير قابلة للتفاوض. نبذة عن شركة mcp.so mcp.so هي شركة رائدة في مجال بروتوكولات التوصيل الذكي بين الوكلاء الذكائيين وأدوات النظام. تركز الشركة على تطوير بروتوكولات موحدة وقابلة للتوسع، مما يسمح للوكلاء الذكائيين بالتفاعل بسلاسة مع مجموعة متنوعة من الخدمات والتطبيقات المحلية. ومع ذلك، فإن هذا التقدم التقني يأتي مع تحديات أمنية كبيرة يجب على الشركات والمطورين التعامل معها بجدية.