Nel panorama in continua evoluzione dell’intelligenza artificiale, la sicurezza delle interfacce e dei protocolli di comunicazione tra modelli di linguaggio avanzati (LLM) e servizi esterni è diventata una priorità. Recenti ricerche hanno dimostrato come il Model Context Protocol (MCP), ideato da Anthropic, sia vulnerabile a tecniche di prompt injection che possono essere sfruttate sia per fini offensivi sia difensivi. L’MCP è stato sviluppato per collegare LLM con fonti dati e strumenti esterni, migliorando accuratezza e utilità delle applicazioni AI. Tuttavia, questa apertura espone a nuovi rischi di sicurezza.

Il protocollo MCP segue un’architettura client-server, consentendo a host dotati di client MCP, come Claude Desktop, di comunicare con diversi server MCP che mettono a disposizione specifici strumenti. Questa flessibilità, se da un lato potenzia le applicazioni AI, dall’altro amplia la superficie di attacco. Tra i rischi emergenti ci sono l’eccessiva estensione dei permessi, attacchi tramite prompt injection indiretta, tool poisoning e rug pull, ovvero strumenti che cambiano comportamento dopo aggiornamenti malevoli post-approvazione.

Un esempio pratico riguarda l’integrazione di MCP con servizi come Gmail. Un aggressore potrebbe inviare email con istruzioni nascoste, che l’LLM interpreta, portando ad azioni non desiderate come l’inoltro di comunicazioni sensibili verso caselle sotto controllo dell’attaccante. Inoltre, è stata riscontrata la possibilità di contaminazione tra strumenti o shadowing di server MCP, in cui un server riesce a sovrascrivere le regole di un altro, favorendo la sottrazione furtiva di dati.

Le stesse tecniche di prompt injection però possono essere utilizzate a fini difensivi. Ad esempio, è possibile creare tool MCP che, tramite una descrizione appositamente formulata, istruiscono l’LLM a loggare ogni chiamata agli strumenti, aumentando la tracciabilità e la trasparenza. Altri casi d’uso prevedono la creazione di veri e propri firewall che bloccano strumenti non autorizzati.

Non solo MCP è coinvolto: anche il protocollo Agent2Agent (A2A), recentemente presentato da Google, è soggetto a nuovi vettori di attacco. Questo protocollo permette agli agenti AI di cooperare tra sistemi e applicazioni diverse. Vulnerabilità nel meccanismo di dichiarazione delle capacità degli agenti possono essere sfruttate per fare in modo che tutte le richieste vengano indirizzate a un agente compromesso, che può così accedere e manipolare dati sensibili.

Queste scoperte sottolineano l’importanza di un approccio proattivo alla sicurezza nelle architetture AI, dove la prompt injection può rappresentare sia una minaccia che un’opportunità per rafforzare le difese.