Compatibility at a Cost: Systematic Discovery and Exploitation of MCP Clause-Compliance Vulnerabilities

Dit artikel introduceert het eerste systematische raamwerk voor het analyseren en uitbuiten van 'compatibiliteitsmisbruik'-aanvallen in de Model Context Protocol (MCP), waarbij een taal-onafhankelijke representatie en LLM-gestuurde statische analyse worden gebruikt om kwetsbaarheden in SDK-implementaties op te sporen die ontstaan door optionele clausules.

De kern

Hier is een uitleg van het onderzoek in eenvoudig Nederlands, met behulp van creatieve vergelijkingen om het begrijpelijk te maken.

De Kern: De "USB-C" van AI die te flexibel is

Stel je voor dat MCP (Model Context Protocol) de nieuwe USB-C-poort is voor kunstmatige intelligentie (AI). Vroeger had elke AI-apparaat zijn eigen eigenaardige stekker en kabel, wat een chaos was. MCP is de standaard die alles op één manier aansluit, zodat elke AI (zoals ChatGPT of Copilot) makkelijk kan praten met externe tools (zoals een database of een zoekmachine).

Maar er zit een addertje onder het gras. Om ervoor te zorgen dat deze poort voor iedereen werkt (of het nu een simpele chatbot is of een complexe robot), hebben de ontwerpers de regels extreem flexibel gemaakt.

Het Probleem: "Het mag, maar hoeft niet"

In de wereld van computerregels zijn er drie soorten instructies:

1. MOETEN (MUST): Dit is verplicht.
2. MOETEN (SHOULD): Dit is een sterk advies, maar je mag het negeren als je een goede reden hebt.
3. MAG (MAY): Dit is optioneel.

Het probleem is dat 78,5% van de regels in MCP in de categorie "MOETEN" of "MAG" vallen. De ontwerpers dachten: "Laten we zoveel mogelijk opties geven, zodat elke ontwikkelaar zijn eigen AI kan bouwen."

De analogie:
Stel je voor dat je een veiligheidsinspectie doet voor een nieuw gebouw. De regels zeggen: "De branddeur MOET dicht blijven, tenzij je een noodalarm hebt, en dan MAG je hem openen."
De ontwerpers van het gebouw (de AI-ontwikkelaars) dachten: "Oh, we hebben geen noodalarm nodig, dus we bouwen de deur niet eens in."
Of: "We hebben een noodalarm, maar we vergeten de sensor aan te sluiten."

Voor de ontwerper is dit geen fout; het is een keuze om het gebouw lichter en flexibeler te maken. Maar voor een inbreker (de hacker) is dit een open raam. Omdat de sensor ontbreekt, kan de inbreker binnenkomen zonder dat het alarm afgaat.

Wat hebben de onderzoekers ontdekt?

De onderzoekers van de Universiteit van Minnesota hebben ontdekt dat deze "flexibiliteit" een nieuw soort hackersaanval mogelijk maakt, die ze "Compatibiliteits-misbruik" noemen.

Ze hebben een super-rekenmachine (een automatisch gereedschap) gebouwd om alle verschillende versies van de software (in 10 verschillende programmeertalen zoals Python, Java, etc.) te controleren. Ze zochten niet naar bekende hackers, maar keken naar wat er ontbreekt.

Hun methode in drie stappen:

1. De Vertaler (IR Generator): Ze vertalen alle verschillende programmeertalen naar één universele taal, zodat ze ze allemaal kunnen vergelijken.
2. De Controleur (LLM + Statistiek): Ze gebruiken een slimme AI (LLM) om te kijken: "Zegt de regel dat er een waarschuwing moet komen als er iets verandert? En is die waarschuwing in de code wel aanwezig?"
3. De Hacker-Simulatie: Ze vragen zich af: "Als deze waarschuwing ontbreekt, kan een boze hacker hier iets mee?"

De Gevaren: Stilte is gevaarlijk

Ze vonden 1.265 potentiële risico's in slechts 10 softwarepakketten. Hier zijn drie voorbeelden van wat er kan gebeuren:

1. De Stille Injectie (Silent Prompt Injection):

   • De Regel: Als een tool verandert, moet de server de AI waarschuwen.
   • De Fout: In de Python-versie is deze waarschuwing vergeten.
   • Het Gevolg: Een boze server kan de beschrijving van een tool veranderen in een giftige instructie. De AI ziet dit niet als een verandering (want er kwam geen waarschuwing) en voert de opdracht uit. De gebruiker merkt niets. Het is alsof iemand je huisdier vermomt als een vriend, en jij laat hem binnen zonder te twijfelen.

2. De Drukke Gast (DoS - Denial of Service):

   • De Regel: De frequentie van "ping" (controle) moet instelbaar zijn.
   • De Fout: In de Python-versie is dit niet instelbaar.
   • Het Gevolg: Een boze server kan duizenden keren per seconde "hallo" roepen. De AI wordt hierdoor overbelast en stopt met werken.

3. De Valse Sleutel (Token Misbruik):

   • De Regel: Je mag alleen sleutels (tokens) gebruiken die door de juiste beheerder zijn uitgegeven.
   • De Fout: De software controleert niet wie de sleutel heeft uitgegeven, alleen of hij nog geldig is.
   • Het Gevolg: Een hacker kan een sleutel van Server A stelen en die gebruiken bij Server B. De software denkt: "Oh, de sleutel is geldig, laat binnen!" terwijl het een valse sleutel is.

De Oplossing en Impact

De onderzoekers hebben niet alleen de fouten gevonden, maar ook de ontwerpers van MCP ervan overtuigd dat dit een serieus probleem is.

• Erkenning: Ze hebben 26 meldingen gedaan. De meeste werden bevestigd. Vijf werden als "zeer hoog risico" (P0/P1) bestempeld.
• Verandering: De MCP-gemeenschap is zo onder de indruk dat ze het gereedschap van de onderzoekers willen integreren in hun officiële testproces. In plaats van dat elke ontwikkelaar handmatig moet controleren, wordt dit gereedschap gebruikt om te zorgen dat nieuwe versies van de software veilig zijn voordat ze vrijgegeven worden.

Samenvatting in één zin

Dit onderzoek toont aan dat te veel vrijheid in de regels voor AI-verbindingen leidt tot gevaarlijke gaten in de beveiliging, en dat we automatisch gereedschap nodig hebben om te controleren of ontwikkelaars die gaten niet per ongeluk open laten voor hackers.

Het is een waarschuwing: Compatibiliteit is geweldig, maar niet als het ten koste gaat van veiligheid.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "Compatibility at a Cost: Systematic Discovery and Exploitation of MCP Clause-Compliance Vulnerabilities", geschreven in het Nederlands.

Titel: Compatibility at a Cost: Systematische Ontdekking en Exploitatie van MCP Clauze-Compliance Kwetsbaarheden

Auteurs: Nanzi Yang, Weiheng Bai, Kangjie Lu (Universiteit van Minnesota)

---

1. Het Probleem: Compatibiliteit als Aanvalsoppervlak

De Model Context Protocol (MCP) is een nieuwe interoperabiliteitsstandaard die AI-agenten in staat stelt om op een gestandaardiseerde manier te verbinden met externe tools en databronnen. Het protocol vervangt gefragmenteerde integraties door een universeel "plug-and-play" raamwerk.

Het kernprobleem dat dit paper identificeert, is de fundamentele spanning tussen diversiteit en standaardisatie:

• Ontwerpfilosofie: Om compatibel te zijn met een breed scala aan AI-agenten (die verschillende tools en workflows gebruiken), adopteert MCP een "compatibility-first" benadering. De specificatie bevat slechts een klein aantal absolute verplichtingen (MUST), terwijl het overgrote deel van de regels optioneel is (SHOULD, MAY, of conditionele MUST).
• Implementatiekloof: Omdat deze clausules optioneel zijn, besluiten ontwikkelaars van SDK's (Software Development Kits) vaak om bepaalde functies niet te implementeren. Dit wordt gezien als een legitieme keuze binnen de specificatie.
• Het Aanvalsoppervlak: Voor een aanvaller vertegenwoordigt een niet-geïmplementeerde clausule een ontbrekende beveiligingsbarrière ("guardrail"). Door deze ontbrekende controles te misbruiken, kunnen aanvallen worden uitgevoerd zonder dat het slachtoffer (de client of de LLM) dit merkt. De auteurs noemen dit "compatibility-abuse attacks" (misbruik van compatibiliteit).

Voorbeeld: Als een SDK niet implementeert dat een server een melding moet sturen wanneer de lijst van beschikbare tools verandert (een SHOULD-clausule), kan een kwaadaardige server stiekem tools aanpassen met schadelijke instructies. De client merkt de verandering niet op, waardoor er een stille prompt-injectie plaatsvindt.

---

2. Methodologie: Een Systematisch Analyseframework

Om dit nieuwe aanvalsoppervlak systematisch te analyseren over meerdere programmeertalen heen, stellen de auteurs een drie-staps framework voor dat taal-onafhankelijk is en gebruikmaakt van een hybride benadering van statische analyse en Large Language Models (LLM's).

Stap 1: Universele Intermediate Representation (IR) Generator

• Uitdaging: MCP SDK's zijn geschreven in verschillende talen (Python, TypeScript, Go, etc.) en gebruiken verschillende code-structuren. Een directe vergelijking is moeilijk.
• Oplossing: De auteurs bouwen een generator die elke SDK omzet naar een taal-onafhankelijke Intermediate Representation (IR).
• Principe: MCP-clausules worden geabstraheerd als "conditionele acties" (als voorwaarde X geldt, voer actie Y uit). De IR bestaat uit een catalogus van functies (acties) en de voorwaarden waaronder ze worden aangeroepen. Dit normaliseert de code, ongeacht de programmeertaal.

Stap 2: Hybride Statische-LLM Analyse

• Uitdaging: Het controleren van duizenden clausule-SDK-combinaties is complex. Zuivere pattern-matching leidt tot een "pattern explosion", terwijl pure LLM-analyse vatbaar is voor hallucinaties en gebrek aan transparantie.
• Oplossing: Een hybride aanpak waarbij statische analyse en LLM's elkaar versterken:
  1. Statische Slicing: De IR wordt gebruikt om de zoekruimte te verkleinen. In plaats van de hele codebase te analyseren, worden alleen relevante code-slices (functiedefinitie en aanroeplocaties) geselecteerd.
  2. LLM Redenering: De LLM analyseert deze beperkte slices semantisch om te bepalen of de voorwaarde daadwerkelijk wordt gecontroleerd en of de actie wordt uitgevoerd.
  3. Zelf-refinerende lus: Als de LLM onzeker is, verfiert het de zoekopdracht totdat een betrouwbaarheidsthrshold wordt bereikt.

Stap 3: Modality-gebaseerde Exploitabiliteitsanalyse

• Uitdaging: Niet elke niet-geïmplementeerde clausule is een beveiligingsrisico; sommige zijn slechts bugs of designkeuzes zonder impact.
• Oplossing: De auteurs definiëren drie aanvalsmodaliteiten om te bepalen of een ontbrekende clausule exploitabel is:
  1. Payload-controle: Kan de aanvaller de inhoud van het bericht manipuleren?
  2. Timing-controle: Kan de aanvaller het moment van verzending manipuleren?
  3. Gecombineerde controle: Beide.
     Als een ontbrekende clausule een aanvaller toestaat om de payload of het tijdstip te controleren, wordt het geclassificeerd als een potentieel risico. Anders wordt het beschouwd als een normale bug.

---

3. Belangrijkste Bijdragen

1. Nieuw Aanvalsoppervlak: Het paper identificeert en formaliseert "compatibility-abuse attacks" als een intrinsiek risico in MCP, voortkomend uit het ontwerp om diversiteit te accommoderen via optionele clausules.
2. Systematisch Analyseframework: Het introduceren van het eerste taal-onafhankelijke, hybride (statisch + LLM) framework dat in staat is om compliance-kloven over 10 verschillende SDK's en 275 protocolclausules te scannen.
3. Praktische Impact en Community Integratie: De tools hebben niet alleen duizenden risico's gevonden, maar hebben ook geleid tot erkenning door de MCP-community en een uitnodiging om het tool te integreren in de officiële Conformance-Testing Specification Enhancement Proposal (SEP).

---

4. Resultaten

De auteurs hebben hun framework toegepast op 10 officiële MCP SDK's (waaronder Python, TypeScript, Go, Java, Rust, etc.).

• Ontdekte Risico's: Er werden 1.265 potentieel exploitabele risico's geïdentificeerd over de 10 SDK's.
• Nauwkeurigheid: De analyse toonde een precisie van 86% en een recall van 87%. De false-positive rate was gemiddeld 14% en de false-negative rate 13,5%.
• Rapportage en Erkenning:
  • Er werden 26 rapporten ingediend (steekproefsgewijs).
  • 20 rapporten werden erkend door de maintainers.
  • 5 rapporten werden getriaged als hoog prioriteit (3 P0 en 2 P1), waaronder kritieke issues zoals stille prompt-injectie en token-validatiefouten.
  • De maintainers van de Python, Go en TypeScript SDK's bevestigden specifieke bevindingen.
• Kosten: De analyse van alle 2.750 clausule-SDK-combinaties kostte slechts ongeveer $542 (ongeveer $0,20 per check), wat de schaalbaarheid en kosteneffectiviteit aantoont.

---

5. Betekenis en Conclusie

Dit onderzoek toont aan dat de veiligheid van AI-agenten niet alleen afhankelijk is van de kwaliteit van de LLM of de client, maar ook van de implementatiekloof in de protocollen die ze gebruiken.

• Fundamenteel Inzicht: De diversiteit van AI-agenten, die de basis vormt voor MCP's ontwerp, creëert per definitie een aanvalsoppervlak omdat het toestaat dat essentiële beveiligingscontroles (clausules) worden weggelaten.
• Verschuiving in Perspectief: Het paper verschuift de focus van "aanvallen op de agent" naar "aanvallen op de implementatiekloof van het protocol".
• Toekomstige Richting: De resultaten hebben geleid tot een verandering in de community-aanpak. De MCP-maintainers overwegen nu om dit type analyse (clause-to-implementation traceability) op te nemen in de standaardontwikkelingscyclus en conformance-tests, om te voorkomen dat toekomstige SDK's dergelijke kwetsbaarheden introduceren.

Kortom, het paper waarschuwt dat "compatibiliteit" in AI-protocollen een tweesnijdend zwaard kan zijn: het maakt integratie makkelijker, maar creëert tegelijkertijd systematische zwaktes die door aanvallen kunnen worden uitgebuit.