MCP-in-SoS: Risk assessment framework for open-source MCP servers

Cet article présente un cadre d'évaluation des risques pour les serveurs MCP open-source, basé sur une analyse statique du code et des taxonomies de menaces, qui révèle l'existence de vulnérabilités exploitables compromettant la sécurité des déploiements d'agents LLM.

L'essentiel

Voici une explication simple et imagée de l'article de recherche, conçue pour être comprise par tout le monde, même sans être expert en informatique.

🌍 Le Contexte : Des Assistants IA avec des "Super-Pouvoirs"

Imaginez que les intelligences artificielles (comme ChatGPT) sont de très grands cerveaux, très intelligents, mais qui vivent dans une bulle. Ils ne peuvent pas voir le monde réel, ni ouvrir vos fichiers, ni envoyer d'emails, ni contrôler votre maison intelligente.

Pour les aider à agir dans le monde réel, les développeurs ont créé un système appelé MCP (Model Context Protocol). C'est un peu comme un système de prise électrique universel. Grâce à cette prise, le cerveau de l'IA peut brancher n'importe quel outil : un moteur de recherche, un système de fichiers, une base de données, etc.

C'est génial ! Mais il y a un problème : comme c'est facile à brancher, des milliers de développeurs ont créé leurs propres "prises" (des serveurs) et les ont mises en ligne gratuitement. C'est comme si tout le monde construisait des prises électriques dans son garage sans respecter les normes de sécurité.

🔍 Le Problème : Des Prises Défectueuses

Les chercheurs de l'Université du Nouveau-Mexique se sont demandé : "Est-ce que ces prises sont sûres ?"

Ils ont décidé de faire un grand inventaire. Ils ont analysé 222 de ces serveurs (ces "prises") disponibles sur internet. Leur objectif n'était pas de les casser, mais de regarder comment ils étaient construits pour voir s'ils avaient des défauts cachés.

🛠️ La Méthode : Le "Mécanicien" Numérique

Pour faire ce travail, ils ont utilisé une approche en trois étapes, que l'on peut comparer à l'inspection d'une voiture avant un long voyage :

1. Le Scanner Automatique (Les Outils) : Ils ont utilisé des logiciels très pointus (comme CodeQL et Joern) qui agissent comme des mécaniciens robots. Ces robots lisent le code informatique ligne par ligne pour trouver des erreurs de construction (comme un frein mal vissé ou un fil dénudé).
2. La Carte des Défauts (CWE et CAPEC) : Ils ont comparé les erreurs trouvées à deux grandes encyclopédies de sécurité :
   • CWE : Une liste de tous les défauts de construction possibles (ex: "oubli de serrure").
   • CAPEC : Une liste de toutes les façons dont un voleur pourrait exploiter ces défauts (ex: "forcer la porte avec un pied-de-biche").
3. Le Calcul du Danger (Le Score de Risque) : Ils ont créé une formule mathématique pour donner un "score de danger" à chaque serveur. Plus le défaut est facile à exploiter et plus les dégâts seraient grands, plus le score est élevé.

📊 Les Résultats : Une Situation Alarmante

Les résultats sont sans appel, un peu comme si on découvrait que 86% des voitures dans un grand parking avaient un défaut critique.

• La majorité est en danger : Sur les 222 serveurs analysés, 191 (soit 86%) contenaient au moins une faille de sécurité.
• Les risques sont graves : La plupart de ces serveurs ont été classés dans les catégories "Risque Élevé" ou "Risque Très Élevé".
• Le coupable principal : La faille la plus courante concerne les contrôles d'accès (le "Protocol"). C'est comme si la porte d'entrée de la maison était ouverte, sans serrure. Une fois que le voleur passe la porte, il peut accéder à tout ce qui se trouve à l'intérieur (vos fichiers, vos mots de passe, etc.).

🔗 L'Effet Domino : La Chaîne de Catastrophe

L'étude a révélé quelque chose de très important : les failles ne sont presque jamais isolées. Elles fonctionnent comme une chaîne de dominos.

Imaginez un scénario d'attaque typique découvert par les chercheurs :

1. Le Portail Faible (Protocol) : Le voleur trouve que la porte d'entrée est mal verrouillée.
2. L'Outil Dangereux (Tool) : Une fois dedans, il trouve un outil (comme un marteau) qui peut casser les vitres.
3. La Ressource Précieuse (Resource) : Derrière la vitre cassée, il trouve le coffre-fort avec l'argent.

Si le portail était bien verrouillé, le voleur n'aurait jamais pu utiliser le marteau pour atteindre le coffre. C'est pourquoi les chercheurs insistent sur le fait que la sécurité doit être pensée dès la conception, et non ajoutée après coup.

💡 La Conclusion : Construire Mieux

En résumé, cette étude nous dit que l'ère des agents IA connectés à des outils réels est arrivée, mais que nous construisons ces connexions trop vite et trop négligemment.

• Le message clé : Nous ne pouvons pas nous permettre de laisser des portes ouvertes dans notre infrastructure numérique.
• La solution : Les développeurs doivent adopter une approche "sécurité par conception". Avant de brancher l'IA à un outil, il faut s'assurer que le système est blindé, comme une maison avec des portes solides, des alarmes et des fenêtres incassables.

Les chercheurs ont partagé leurs outils et leurs listes de défauts pour aider la communauté à réparer ces failles avant qu'un vrai pirate ne les utilise. C'est un appel à la vigilance collective pour que l'avenir de l'IA soit à la fois puissant et sûr.

Résumé technique

Voici un résumé technique détaillé de l'article "MCP-in-SoS: Risk assessment framework for open-source MCP servers" (MCP-in-SoS : Cadre d'évaluation des risques pour les serveurs MCP open-source), rédigé en français.

1. Problématique et Contexte

Le Model Context Protocol (MCP), introduit par Anthropic fin 2024, est devenu un standard ouvert pour connecter les agents d'IA (basés sur les LLM) à des outils et des données externes. Bien que ce protocole offre une séparation claire des préoccupations et une portabilité accrue, il modifie radicalement la posture de sécurité des systèmes d'agents. Contrairement aux applications client-serveur traditionnelles aux flux de contrôle statiques, les systèmes MCP orchestrés par des agents permettent des appels d'outils dynamiques et en chaîne, pouvant atteindre des ressources sensibles (système de fichiers, API, secrets).

Le problème central identifié par les auteurs est l'absence d'évaluation systématique et à grande échelle des vulnérabilités dans les implémentations de serveurs MCP open-source. Bien que des taxonomies de menaces et des attaques ponctuelles aient été documentées, aucune étude n'avait encore analysé massivement le code source réel de ces serveurs pour identifier des faiblesses logicielles critiques (CWE) et leurs chaînes d'exploitation potentielles.

2. Méthodologie : Le Pipeline MCP-in-SoS

Les auteurs proposent MCP-in-SoS, un pipeline d'analyse automatisé en quatre étapes pour détecter, normaliser et prioriser les faiblesses de sécurité dans les implémentations de serveurs MCP.

A. Collecte de Données

L'étude porte sur 222 dépôts GitHub implémentant des serveurs MCP en Python, sélectionnés sur la base de leur popularité (étoiles) et de leur activité récente.

B. Analyse de Code Statique (Étape 1)

Le pipeline utilise trois analyseurs statiques pour extraire les candidats vulnérables :

1. CodeQL : Pour identifier des motifs de faiblesses bien étudiés (injections, désérialisation non sécurisée).
2. Joern : Utilisé pour générer un graphe de propriétés de code (CPG) et exécuter des requêtes personnalisées alignées sur le Top 25 CWE 2025. Les auteurs ont généré 54 requêtes Joern spécifiques à l'aide d'un LLM.
3. Cisco AI Defender MCP Scanner : Utilisé sur un sous-ensemble pour détecter des comportements à risque spécifiques à MCP.

C. Normalisation et Cartographie (Étapes 2 & 3)

Les résultats bruts sont normalisés et mappés vers des identifiants standardisés :

• CWE (Common Weakness Enumeration) : Pour classer les faiblesses logicielles.
• CAPEC (Common Attack Pattern Enumeration and Classifications) : Pour mapper les faiblesses aux motifs d'attaque réels.
• Une étape de nettoyage comble les lacunes de métadonnées (ex: imputation de valeurs manquantes de probabilité d'attaque en se basant sur les catégories parentes).

D. Évaluation des Risques (Étape 4)

Les auteurs introduisent un modèle de notation basé sur une formule de risque conservatrice :
$$R(w) = \text{Likelihood}(w) \times \text{Impact}(w)$$

• Probabilité (Likelihood) : Produit de la probabilité d'attaque (CAPEC), de la probabilité d'exploitation (CWE) et du nombre de modes d'introduction.
• Impact : Produit de la sévérité typique (CAPEC) et du nombre de conséquences communes (CWE).
• Score par dépôt : Calculé en combinant la sévérité des faiblesses (RMS) et le volume total de trouvailles, avec une transformation logarithmique pour éviter la domination des dépôts à très grand nombre de faiblesses mineures.

3. Contributions Clés

1. Première évaluation à grande échelle : Analyse de 222 dépôts MCP open-source, révélant que 86,0% contiennent au moins une faiblesse mappée.
2. Pipeline reproductible : Une infrastructure combinant analyseurs statiques (CodeQL, Joern) et assistance par LLM pour la génération de requêtes et la normalisation.
3. Modèle de scoring CWE-CAPEC : Un mécanisme de notation qui lie les faiblesses de code aux motifs d'attaque réels pour produire des métriques de risque au niveau du dépôt et de la faiblesse.
4. Taxonomie des surfaces de menace MCP : Classification des vulnérabilités en quatre catégories : Protocole, Outil, Ressource et Prompt.
5. Analyse des chaînes d'exploitation : Identification de corrélations conditionnelles montrant comment les faiblesses de différentes surfaces s'enchaînent.

4. Résultats Principaux

• Prévalence des vulnérabilités : Sur les 222 dépôts, 191 (86%) présentent des faiblesses. Au total, 15 962 trouvailles ont été identifiées, couvrant 51 classes CWE distinctes.
• Distribution des risques :
  • Les faiblesses les plus courantes sont l'absence d'autorisation (CWE-862, 30,4%), l'exposition de données sensibles (CWE-200, 15,9%) et l'absence d'authentification (CWE-306, 15,3%).
  • Cependant, les risques les plus élevés (High/Very High) sont associés à des faiblesses comme l'injection SQL (CWE-89) et l'attribution incorrecte de permissions (CWE-732).
  • 47,6% des dépôts analysés sont classés dans la bande de risque Élevé, et 18,3% dans la bande Très Élevé.
• Surfaces de menace :
  • La surface Protocole domine à la fois en fréquence (56,9% des trouvailles) et en exposition pondérée par le risque (57,1%). Cela suggère que les problèmes de contrôle d'accès et de transport agissent comme un multiplicateur de risque pour les autres vulnérabilités.
  • Les faiblesses liées aux Outils (9,9% des trouvailles) génèrent une exposition disproportionnée (21,2%) en raison de leur impact potentiel élevé (injection).
• Chaînes d'exploitation conditionnelles :
  • Les faiblesses ne sont presque jamais isolées.
  • 87% des dépôts avec des faiblesses d'outils ont aussi des faiblesses de protocole.
  • 94% des dépôts avec des faiblesses de "Prompt" ont aussi des faiblesses de "Ressource".
  • Cela révèle des chaînes d'attaque typiques : une faille de protocole permet d'atteindre un outil vulnérable, qui à son tour permet l'exfiltration de ressources sensibles.

5. Signification et Conclusion

Cette étude démontre que l'écosystème actuel des serveurs MCP open-source présente des risques de sécurité systémiques. La majorité des dépôts contiennent des vulnérabilités exploitables qui peuvent compromettre la confidentialité, l'intégrité et la disponibilité des systèmes.

L'apport principal réside dans la démonstration que la sécurité des agents LLM ne peut pas se limiter à la protection du modèle lui-même ; elle doit impérativement inclure une conception sécurisée ("secure-by-design") des serveurs MCP qui agissent comme points de contrôle critiques. Les auteurs concluent que les faiblesses de protocole (contrôle d'accès) sont le maillon faible le plus critique, car elles permettent l'exploitation en cascade des autres composants.

L'article recommande l'adoption de pratiques de développement sécurisées, l'utilisation de fichiers SECURITY.md pour les rapports de vulnérabilité, et l'intégration de ce type d'analyse dans les cycles de développement des outils d'IA. Les auteurs ont également rapporté leurs découvertes de manière éthique aux mainteneurs des projets concernés.