Give Them an Inch and They Will Take a Mile:Understanding and Measuring Caller Identity Confusion in MCP-Based AI Systems

Dit onderzoek onthult dat het ontbreken van authenticatie voor de aanroepende partij in Model Context Protocol (MCP)-systemen fundamenteel onveilig is, omdat servers vaak niet kunnen onderscheiden wie een verzoek doet en zo onbedoeld toegang verlenen aan onbevoegde gebruikers.

De kern

Deze samenvatting legt uit wat het onderzoek betekent, zonder de technische jargon, maar met een paar handige vergelijkingen.

Stel je voor dat je een slimme assistent hebt (een AI-agent) die voor je kan werken. Deze assistent kan niet alleen tekst schrijven, maar ook echt dingen doen: bestanden openen, e-mails sturen, of software installeren. Maar omdat de assistent zelf niet direct bij die dingen kan, gebruikt hij een tussenpersoon (de MCP-server) om de klus te klaren.

Deze tussenpersoon is als een veiligheidsbewaker bij een groot kantorecomplex. Hij heeft de sleutels tot alles: de serverruimte, de archieven, de computer van de baas.

Het Probleem: "Geef een duim, en ze nemen een mijl"

Het onderzoek van deze studenten van de Shandong Universiteit ontdekt een groot veiligheidslek in hoe deze tussenpersoon werkt. Het probleem noemen ze "Verwarring over wie er belt" (Caller Identity Confusion).

Hier is hoe het werkt, in gewone taal:

1. De Sleutel die nooit wordt teruggegeven
Stel je voor dat je (de eigenaar) naar de veiligheidsbewaker loopt en zegt: "Ik wil graag de archiefkast openen." De bewaker controleert je ID, geeft je een sleutel, en zegt: "Oké, je mag binnen."

In een goed systeem zou de bewaker elke keer vragen: "Wie bent u nu precies?" als je een nieuwe kast wilt openen.

Maar in veel huidige AI-systemen doet de bewaker het anders. Zodra hij jou een keer heeft gecontroleerd, denkt hij: "Ah, dit is een betrouwbare persoon. Ik zet mijn sleutel in het slot en laat de deur open staan. Wie er ook binnenkomt, ik ga ervan uit dat het nog steeds die ene betrouwbare persoon is."

2. De Hackerspeler
Nu komt de hacker. Hij staat niet in de hal, hij zit ergens anders. Maar hij weet dat de deur open staat. Hij loopt gewoon naar binnen en zegt tegen de bewaker: "Ik wil die archiefkast openen."

Omdat de bewaker niet vraagt "Wie bent u?" maar alleen kijkt naar de open deur, doet hij wat de hacker vraagt. De hacker heeft geen sleutel gestolen, hij heeft geen wachtwoord gekraakt. Hij heeft gewoon gebruikgemaakt van het feit dat de bewaker zijn wachttekening (de autorisatie) te lang heeft vastgehouden.

3. Wat gebeurt er dan?
De AI-assistent (die de hacker is) kan nu:

• Bestanden van je computer stelen.
• Software installeren die je niet wilt.
• E-mails sturen alsof jij het bent.
• Zelfs je scherm zien en muisbewegingen nabootsen.

De hacker hoeft niet te hacken; hij hoeft alleen maar te wachten tot de bewaker zijn "pas" heeft gekregen, en dan kan hij alles doen wat die pas toestaat.

Wat hebben ze gedaan? (De "Politieagent")

De onderzoekers hebben een nieuw gereedschap gemaakt, genaamd MCPAuthChecker. Je kunt dit zien als een super-politieagent die door duizenden van deze kantoorcomplexen loopt om te kijken of de bewakers hun werk goed doen.

Ze hebben 6.137 van deze systemen gecontroleerd. Het resultaat was schokkend:

• 46,4% van de systemen deed het verkeerd.
• Bijna de helft van de bewakers gaf hun sleutels te makkelijk weg of liet de deur te lang open staan.
• Dit gebeurde zelfs bij de meest populaire en bekende systemen. Het was niet alleen een probleem van "beginnelingen".

De Gevolgen in het Dagelijks Leven

De onderzoekers lieten zien hoe dit in de praktijk kan misgaan:

• De "Ghost Driver": Een hacker kan via de AI je computer besturen alsof hij zelf aan het toetsenbord zit. Hij kan je browser openen, inloggen op je bankrekening (als je daar al ingelogd was) en geld overmaken.
• De "Onzichtbare Postbode": Een hacker kan berichten sturen in je Slack of e-mail, alsof jij het bent, omdat de AI de sleutel heeft om die diensten te benaderen.
• De "Dief in de Archiefkast": De hacker kan bestanden lezen of wissen die je dacht dat veilig waren, omdat de AI de sleutel had.

Wat is de oplossing?

De boodschap van het papier is simpel: Elke keer dat er een nieuwe opdracht wordt gegeven, moet de bewaker vragen: "Wie geeft deze opdracht?"

Het is niet genoeg om één keer te zeggen: "Oké, je mag binnen." Je moet bij elke nieuwe actie opnieuw controleren of de persoon die de opdracht geeft, ook daadwerkelijk de persoon is die je vertrouwt.

Kortom:
Deze AI-systemen zijn als een auto met een open brandkast. Als je de sleutel één keer in het slot steekt en de deur openlaat, kan iedereen die langsloopt de inhoud stelen. De onderzoekers zeggen: "Doe de deur dicht en vraag bij elke rit wie er aan het stuur zit."

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Give Them an Inch and They Will Take a Mile: Understanding and Measuring Caller Identity Confusion in MCP-Based AI Systems", geschreven in het Nederlands.

1. Het Probleem: Verwarring van Belleridentiteit (Caller Identity Confusion)

De auteurs identificeren een fundamentele beveiligingskwetsbaarheid in systemen die gebruikmaken van het Model Context Protocol (MCP). MCP is een gestandaardiseerde interface die Large Language Model (LLM) agents in staat stelt om te communiceren met externe tools en diensten via onafhankelijke MCP-servers.

Het kernprobleem is Caller Identity Confusion (verwarring van de identiteit van de beller).

• Aanname: MCP-servers gaan er vaak van uit dat alle tool-aanroepen die ze ontvangen, afkomstig zijn van één vertrouwd context (de geautoriseerde agent).
• Realiteit: Omdat LLM's vaak stateloos zijn of als derde partij worden gehost, kunnen ze de identiteit van de oorspronkelijke gebruiker niet altijd betrouwbaar doorgeven.
• Gevolg: Zodra een MCP-server eenmalig is geautoriseerd (bijvoorbeeld door een gebruiker in te loggen), wordt deze autorisatiestatus vaak gecacheerd en hergebruikt voor alle daaropvolgende tool-aanroepen, ongeacht wie de daadwerkelijke beller is.
• Risico: Een aanvaller kan een onbevoegde agent of script gebruiken om tools aan te roepen op een reeds geautoriseerde server. Omdat de server de autorisatie niet koppelt aan de specifieke beller, voert hij deze acties uit met de bevoegdheden van de oorspronkelijke gebruiker. Dit leidt tot onbevoegde toegang tot gevoelige systemen zonder dat er sprake is van credential theft (het stelen van wachtwoorden).

2. Methodologie: MCPAuthChecker

Om dit probleem te bestuderen en te meten, hebben de auteurs MCPAuthChecker ontwikkeld, een analysekader dat de autorisatie op het niveau van individuele tool-aanroepen onderzoekt. De tool combineert statische en dynamische analyse om te bepalen of autorisatie strikt gebonden is aan de identiteit van de beller.

De werking van MCPAuthChecker bestaat uit drie fasen:

1. Oplossing van Uitvoeringstriggers (Execution-Triggered Tool Entry Resolution):
   • MCP-servers hebben geen standaard ingangspunten (zoals een main-functie). De tool reconstrueert de programmadependencies (met CodeQL) om te identificeren waar protocol-niveau tools/call-verzoeken omgezet worden in concrete uitvoeringslogica, ongeacht hoe de tools zijn geregistreerd of gedistribueerd.
2. Pad-gevoelige Autorisatieanalyse (Path-Sensitive Authorization Analysis):
   • De tool traceert het uitvoeringspad van elke tool-aanroep naar gevoelige operaties (zoals bestandssysteemtoegang of netwerkverzoeken).
   • Het analyseert of autorisatie expliciet wordt afgedwongen langs dit pad. Het onderscheidt tussen:
     • Geen autorisatie (AuthNone).
     • Autorisatie die wordt gecached en hergebruikt (AuthCache).
     • Autorisatie die per beller wordt gebonden (AuthRuntime).
3. Selectieve Dynamische Validatie (Selective Dynamic Validation):
   • Omdat statische analyse niet altijd kan vaststellen of een gecachete status correct wordt toegepast op de huidige beller, voert de tool gecontroleerde dynamische tests uit.
   • Het activeert de server via een proxy en observeert of een tool-aanroep succesvol wordt uitgevoerd zonder opnieuw te authenticeren, zelfs als de beller identiteit verandert.

3. Belangrijkste Bijdragen

• Formalisatie van een nieuwe kwetsbaarheid: De auteurs introduceren en formaliseren het concept van "Caller Identity Confusion" als een specifiek risico in MCP-implementaties, los van traditionele beveiligingsfouten zoals bufferoverlopen.
• Ontwikkeling van MCPAuthChecker: Een praktisch framework dat statische en dynamische technieken combineert om deze complexe, context-afhankelijke kwetsbaarheden te detecteren.
• Grootschalige Empirische Studie: De eerste meting van 6.137 real-world MCP-servers om de prevalentie van dit probleem te kwantificeren.
• Validatie van Real-World Exploits: Demonstratie van concrete aanvalsscenario's (zoals Remote Command Execution en GUI-hijacking) die voortvloeien uit deze kwetsbaarheid.

4. Resultaten

De meting van 6.137 MCP-servers leverde de volgende bevindingen op:

• Algemene Prevalentie: 46,4% (2.846 servers) vertoont onveilig autorisatiegedrag. Dit betekent dat autorisatie ontbreekt, wordt gecached, of onterecht wordt hergebruikt over verschillende aanroepcontexten heen.
• Verspreiding: De kwetsbaarheid is niet beperkt tot onvolwassen projecten. Ze komt voor in alle functionele domeinen en zelfs bij zeer populaire projecten (met veel GitHub "stars").
  • Developer Tools zijn het meest kwetsbaar (52% onveilig), wat zorgwekkend is omdat deze tools vaak de meest geavanceerde en gevaarlijke functionaliteit bieden.
• Soorten Fouten:
  • AuthNone: Geen enkele autorisatiecheck.
  • AuthCache: Autorisatie gebeurt eenmalig (bijvoorbeeld bij opstarten) en wordt daarna hergebruikt zonder verificatie van de beller.
  • AuthRuntime: Autorisatie bestaat, maar is niet strikt gebonden aan de huidige beller-identiteit.
• Aanvalsscenario's: De auteurs demonstreerden drie realistische aanvallen:
  1. Remote Command Execution (RCE): Uitvoeren van willekeurige shell-commando's via een Git-tool zonder authenticatie.
  2. Ongeautoriseerde Browser/GUI Controle: Het sturen van muisklikken, toetsaanslagen en schermopnames via een MCP-server die een browser bestuurt.
  3. Misbruik van Derde-Partij API's: Het uitvoeren van priviliged acties (zoals Slack-berichten of AWS-data) met de credentials van een gebruiker, zonder dat de gebruiker dit weet of toestemming geeft voor de specifieke actie.

5. Betekenis en Conclusie

De studie concludeert dat de huidige architectuur van MCP-servers een systemisch beveiligingsrisico introduceert door autorisatie te loskoppelen van de identiteit van de beller.

• Paradigmaverschuiving: Beveiliging in AI-agent-systemen mag niet alleen vertrouwen op "once-and-done" autorisatie. Er is een verschuiving nodig naar per-invocation autorisatie waarbij elke tool-aanroep expliciet wordt gecontroleerd op de identiteit van de beller.
• Impact: Deze kwetsbaarheid maakt het mogelijk voor aanvallen die geen gebruik maken van complexe exploits of het stelen van wachtwoorden, maar simpelweg het misbruik maken van de vertrouwde uitvoeringsstatus van de server.
• Aanbeveling: Ontwikkelaars en standaardisatieorganismen moeten "Caller Identity Confusion" als een eerste ontwerpprincipe behandelen. Autorisatie moet expliciet gebonden zijn aan de invoking caller, niet alleen aan de server of de resource.

De auteurs hebben verantwoordelijk verantwoordingsprocedures (responsible disclosure) gevolgd en kwetsbaarheden gemeld bij ontwikkelaars van populaire projecten, waarbij veel van hen de bevindingen bevestigden en patches hebben uitgebracht.