Quét 50 server AI phổ biến, chuyên gia phát hiện lỗ hổng bảo mật đáng sợ mà người dùng không hay biết

Các nhà nghiên cứu bảo mật vừa thực hiện một cuộc kiểm tra quy mô lớn trên 50 MCP server phổ biến — và kết quả khiến nhiều người giật mình. Hơn 72% trong số đó có lỗ hổng nghiêm trọng có thể bị khai thác để tấn công người dùng mà không ai hay biết. Điều đáng lo hơn: hầu hết người dùng hoàn toàn không nhìn thấy mối nguy hiểm này.

MCP server là gì và tại sao bạn nên quan tâm?

Nếu bạn đang dùng Claude Desktop, Cursor, hay các công cụ AI hiện đại khác, rất có thể bạn đang kết nối với các MCP server mà không biết. MCP (Model Context Protocol) là cầu nối giúp AI của bạn tương tác với các công cụ bên ngoài — đọc file, gửi email, truy cập cơ sở dữ liệu, thậm chí điều khiển máy tính của bạn.

Nói đơn giản hơn: MCP server giống như những "plugin" mà AI dùng để làm việc thay bạn. Và cũng như plugin trình duyệt hay ứng dụng điện thoại, chúng có thể bị làm giả hoặc bị nhiễm mã độc.

Con số đáng lo ngại từ cuộc khảo sát

Nhóm nghiên cứu sử dụng công cụ ClawGuard — một scanner mã nguồn mở với hơn 285 mẫu nhận diện mối đe dọa và 684 bài kiểm tra — để phân tích 50 MCP server được dùng phổ biến nhất. Nhiều server có phần mô tả công cụ có thể bị lợi dụng để thực hiện tấn công injection, và hầu hết các MCP client phổ biến không hiển thị đầy đủ mô tả công cụ khi người dùng phê duyệt.

Kiểu tấn công đáng sợ nhất: "Đầu độc công cụ"

Nguy cơ "rug pull" — tấn công sau khi bạn đã tin tưởng

Một số MCP server được thiết kế để tải code mới từ npm mỗi lần chạy. Điều này có nghĩa là: dù bạn đã kiểm tra và phê duyệt server hôm qua, một bản cập nhật độc hại hôm nay có thể thay đổi hoàn toàn hành vi của nó mà không cần bạn làm gì thêm. Đây chính xác là kiểu tấn công từng xảy ra với hệ sinh thái npm — các gói nổi tiếng như event-stream, ua-parser-js, colors.js đều từng bị tấn công theo cách tương tự.

ClawGuard quét những gì?

Công cụ ClawGuard được thiết kế để kiểm tra ba lớp bảo mật:

Lớp 1 — Mô tả công cụ: Phát hiện 12 kiểu tấn công injection bao gồm ghi đè chỉ lệnh, thay đổi vai trò AI, URL đánh cắp dữ liệu, và injection dấu phân cách.

Lớp 2 — Tham số đầu vào: Phát hiện shell injection, path traversal, SQL injection và payload mã hóa base64.

Lớp 3 — Dữ liệu trả về: Phát hiện prompt injection trong dữ liệu phản hồi và payload ẩn được mã hóa. Ngoài ra, ClawGuard còn có tính năng ghim SHA-256 để theo dõi thay đổi trong mô tả công cụ — giúp phát hiện các cuộc tấn công rug pull.

Cách tự bảo vệ ngay hôm nay

Các chuyên gia khuyến nghị một số biện pháp cụ thể: xác thực tất cả đầu vào bằng Zod schemas, giữ mô tả công cụ thuần túy mô tả, đọc kỹ mô tả công cụ trước khi phê duyệt, không kết nối server không tin cậy song song với các server nhạy cảm như email hay Slack, và dùng ClawGuard như một proxy bảo mật để quét trước khi kết nối.

Hệ sinh thái MCP đang ở đâu trong lịch sử bảo mật?

Các chuyên gia nhận định hệ sinh thái MCP hiện tại giống với npm vào năm 2015: tăng trưởng bùng nổ, bảo mật tối thiểu. Chúng ta đã thấy kết cục của câu chuyện đó — hàng loạt vụ tấn công chuỗi cung ứng gây thiệt hại hàng triệu người dùng. Giải pháp không phải là ngừng dùng MCP, mà là quét trước khi tin tưởng.

Điều này có nghĩa gì với bạn?

Nếu bạn đang dùng Claude Desktop hoặc Cursor để làm việc hàng ngày — soạn email, viết code, quản lý file — và bạn có kết nối với bất kỳ MCP server nào từ bên thứ ba, bạn đang tiềm ẩn rủi ro. Không phải rủi ro lý thuyết, mà là rủi ro thực tế có thể dẫn đến mất khóa SSH, lộ dữ liệu cá nhân, hoặc bị chiếm quyền kiểm soát tài khoản.

Bước đơn giản nhất bạn có thể làm ngay hôm nay: chỉ kết nối MCP server từ các nguồn bạn thực sự tin tưởng, và nếu có thể, hãy dùng ClawGuard để kiểm tra trước. Hệ sinh thái AI đang phát triển rất nhanh — và tốc độ đó đôi khi đi kèm với những rủi ro mà chúng ta chưa kịp nhìn thấy.