Cato CTRL™ 威胁研究：针对 Atlassian 模型上下文协议 (MCP) 的 PoC 攻击带来新的“依赖 AI 生存”风险

如果你以前听过这个，请阻止我：

威胁行为者（充当外部用户）提交恶意支持票。

与租户关联的内部用户调用 MCP 连接的 AI 操作。

恶意支持票中的提示注入有效载荷以内部权限执行。

数据被泄露到威胁行为者的票证中或在内部系统内被更改。

这是经典的致命三重渗透攻击，这次针对的是 Atlassian 的新 MCP 服务器，他们对此描述如下：

使用我们的远程 MCP 服务器，您可以总结工作、创建问题或页面并执行多步骤操作，同时确保数据安全并在许可范围内。

这是一个单一的 MCP，可以访问私有数据，使用不受信任的数据（来自公开问题），并进行外部通信（通过发布对这些公开问题的回复）。经典的三重奏。

我不清楚 Atlassian 是否已针对此报告做出任何形式的修复。很难知道他们能修复什么——任何结合了这三个要素的 MCP 在设计上都是不安全的。

我的建议是关闭任何潜在的泄露媒介 – 在这种情况下，这意味着阻止 MCP 发布攻击者可能看到的回复，至少在没有首先获得人工确认的情况下。