Когда вы предоставляете AI-агенту именованный инструмент через WebMCP, вы даете ему заряженный пистолет. Инъекция промптов превращает этот инструмент в прямой путь для злоумышленников. Вот что команда безопасности Chrome рекомендует заблокировать в первую очередь — пока ваш агент не начал выполнять команды незнакомцев.
Поверхность атаки, которую вы не заметили
WebMCP (Model Context Protocol) создан, чтобы AI-агенты могли вызывать конкретные инструменты по имени. Чисто, быстро, удобно для разработчиков. Но этот же чистый маршрут становится идеальным шоссе для инъекции промптов. Злоумышленник встраивает вредоносную инструкцию в промпт — часто через безобидный внешний контент — и агент послушно её выполняет. Инструмент, который вы открыли, становится оружием.
Реальный риск для Кипра и бизнеса в ЕС
Если ваш сайт или CRM использует WebMCP для подключения AI-агента поддержки клиентов, конкурент или злоумышленник может внедрить промпт, который заставит агента утечь персональные данные клиентов из ЕС. Штрафы по GDPR начинаются от 20 миллионов евро или 4% от годового глобального оборота — в зависимости от того, что больше. Для небольшого интернет-магазина в Лимассоле это экзистенциальная угроза. А многоязычные агенты (EN, RU, EL) умножают поверхность атаки: каждая языковая конечная точка — это новая точка входа для инъекций.
Приоритетный список блокировок от Chrome
Команда Chrome от Google — по данным исследователя безопасности Слободана Манича на Search Engine Journal — рекомендует начать с этих трёх мер контроля:
- Ограничьте область действия инструментов режимом «только чтение», где это возможно. Если агенту нужно только получить статус заказа, не давайте ему инструмент для обновления базы данных. Разрешения инструментов MCP должны отражать принцип минимальных привилегий.
- Проверяйте все входные данные инструментов по белому списку. Отклоняйте любые параметры, не соответствующие строгому формату. Например, если инструмент ожидает ID заказа (числовой, 6 цифр), немедленно отбрасывайте всё остальное.
- Регистрируйте каждый вызов инструмента с полным контекстом. Без аудиторских следов вы никогда не узнаете, что агент был взломан, пока не станет слишком поздно. Сохраняйте промпты агента, имена инструментов, параметры и временные метки. Проверяйте журналы еженедельно.
Дополнительный уровень для соответствия нормам ЕС
Если ваш агент обрабатывает персональные данные, добавьте четвёртое правило: никогда не открывайте инструменты, которые могут экспортировать данные на внешние URL. Злоумышленники часто комбинируют инъекцию с эксфильтрацией данных. Полностью блокируйте исходящие запросы из среды агента или ограничьте их своими собственными API-эндпоинтами с лимитами скорости.
Одних названий инструментов недостаточно
Наименование инструмента «getUserEmail» не помешает его вызову через инъецированный промпт. Агент не подвергает сомнению свои инструкции. WebMCP предоставляет прекрасный интерфейс для функциональности — но без описанных выше блокировок это открытый чёрный ход. Начните со списка Chrome, добавьте журналирование уровня GDPR и протестируйте с враждебными промптами перед запуском.
Первоначально опубликовано Слободаном Маничем на Search Engine Journal.