研究人员警告POC漏洞利用Atlassian的AI代理商后AI攻击

AI代理商对IT票务服务抱有很大的希望，但他们也带来了新的风险。

Cato Networks的研究人员透露，服务台解决方案提供商Atlassian发布的新的AI代理协议可以允许攻击者通过及时注射通过JIRA服务管理（JSM）提交恶意支持票。

卡托团队进行的这项概念证明（POC）攻击被称为AI攻击的生活。

研究人员在新报告中概述了POC攻击的技术概述发育不良由CATO CTRL威胁研究团队于6月19日。

MCP，新的标准AI代理协议

2025年5月，Atlassian启动了自己的模型上下文协议（MCP）服务器，将AI嵌入企业工作流程中。

MCP是开放标准于2024年11月由人类引入，是几种生成AI模型和AI Chatbot Claude的制造商。

MPC服务器用于管理和利用模型操作中的上下文信息。

MCP架构由当地运行的MCP主机和几个MCP服务器组成。充当代理的主机可以是AI驱动的应用程序（例如Claude Desktop），您在设备上运行的大型语言模型（例如Claude Sonnet）或Microsoft Visual Studio等集成开发环境（IDE）。

Atlassian的MCP实现了一系列AI驱动的动作，包括票务摘要，自动修复，分类和跨JSM和Confluence的智能建议。

它还使支持工程师和内部用户可以从其本机接口直接与AI进行交互。

在AI攻击中生活的解释

CATO CTRL研究人员通过使用Atlassian的MCP资产来展示通过JSM连接的匿名外部用户如何执行一系列恶意动作，对Atlassian JSM进行了POC攻击，包括：

• 通过提交案例来触发Atlassian MCP的互动，后来由支持工程师使用Claude Sonnet等MCP工具进行处理，自动激活恶意流
• 诱使支持工程师通过Atlassian MCP在不知不觉中执行注射指令
• 从JSM获得内部租户数据，而外部威胁参与者永远不会看到这些数据
• 仅通过将提取的数据写回票务本身，从租户删除支持工程师已连接到的租户的数据

在这里，典型的攻击链将如何展开：

1. 外部用户提交精心设计的支持票
2. 链接到租户的内部代理或自动化援引MCP相互连接的AI操作
3. 机票中的及时注射有效载荷由内部特权执行
4. 数据被淘汰到威胁参与者的票证或内部系统中更改
5. 没有任何沙箱或验证，威胁行为者有效地将内部用户用作代理人，获得了完整的访问权限

值得注意的是，在这个POC演示中，威胁演员从未直接访问Atlassian MCP。相反，支持工程师充当代理，在不知不觉中执行恶意指示，Cato Ctrl研究人员说。

尽管Atlassian被用来证明在AI攻击中生存的生活，但CATO研究人员认为，AI在没有及时隔离或上下文控制的情况下执行不受信任的输入的任何环境都会承受这种风险。

我们证明的风险与特定的供应商无关。当外部输入流不受MCP选中，威胁行为者可以滥用这一途径以获得特权访问而无需进行认证。

``许多企业都可能采用类似的体系结构，其中MCP服务器通过内部AI逻辑连接外部面向系统以提高工作流程效率和自动化。这种设计模式引入了必须仔细考虑的新风险。

建议的缓解措施

CATO网络建议寻求防止或减轻此类攻击的用户创建一条规则，以阻止或警报任何远程MCP工具调用，例如创建，添加或编辑。这样的措施将使用户可以：

• 对AI驱动的行动发挥至少特权

• 实时检测可疑及时使用情况
• 维护整个网络中MCP活动的审计日志

这份报告是在Asana两天后出现的在其MCP服务器中宣布了一个错误将客户数据暴露于其他组织。

图片来源：Konstantin Savusia/Michael VI/Shutterstock

立即读取：安全专家使用AI引擎来标记Chrome扩展，以无需用户输入即可采取行动