Агенты ИИ сулят большие перспективы для ИТ-сервисов по обработке заявок, но они также несут с собой новые риски. Исследователи из Cato Networks обнаружили, что новый протокол агента ИИ, выпущенный поставщиком решений для служб поддержки Atlassian, может позволить злоумышленнику отправить вредоносный тикет поддержки через Jira Service Management (JSM) с помощью оперативной инъекции.

Эта атака проверки концепции (Proof-of-Concept, PoC), проведённая командой Cato, получила название «Жизнь за счёт ИИ» (Living Off AI). Эксперты изложили технический обзор атаки PoC в новом публичном отчёте, предоставленном группой Cato CTRL Threat Research.

В мае Atlassian запустила собственный сервер Model Context Protocol (MCP), который встраивает ИИ в корпоративные рабочие процессы. MCP — это открытый стандарт, анонсированный в ноябре 2024 года компанией Anthropic, создателем нескольких генеративных моделей ИИ и чат-бота Claude. Серверы MCP используются для управления контекстной информацией в работе модели.

Архитектура MCP состоит из хоста, работающего локально, и нескольких серверов. Хост, который действует как агент, может быть приложением на базе ИИ (например, Claude Desktop), большой языковой моделью, которую пользователь запускает на своём устройстве (например, Claude Sonnet), или интегрированной средой разработки, такой как Visual Studio от Microsoft.

MCP от Atlassian обеспечивает ряд действий, управляемых ИИ, включая суммирование тикетов, автоматические ответы, классификацию и интеллектуальные рекомендации в JSM и Confluence. Это также позволяет инженерам службы поддержки и внутренним пользователям напрямую взаимодействовать с ИИ из их собственных интерфейсов.

Исследователи Cato CTRL провели PoC-атаку на Atlassian JSM, используя активы Atlassian MCP, чтобы показать, как анонимный внешний пользователь, подключённый через JSM, может выполнить ряд вредоносных действий. Типичная цепочка атаки разворачивается следующим образом:

1. Внешний пользователь отправляет созданный тикет в службу поддержки
2. Внутренний агент или автоматизация инициирует действие ИИ, подключённое к MCP
3. В тикет выполняется быстрая инъекция полезной нагрузки с внутренними привилегиями
4. Данные передаются в тикет субъекта угрозы или изменяются во внутренней системе
5. Без какой-либо песочницы или проверки субъект угрозы фактически использует внутреннего пользователя в качестве прокси, получая полный доступ

«Примечательно, что в этой демонстрации PoC субъект угрозы никогда не обращался к Atlassian MCP напрямую. Вместо этого инженер службы поддержки выступал в качестве прокси, неосознанно выполняя вредоносные инструкции», — заметили исследователи Cato CTRL.

Усам Оздемиров