เซิร์ฟเวอร์ AI 2 แสนเครื่องเสี่ยงโดนแฮกผ่าน MCP แต่ Anthropic ชี้เป็นฟีเจอร์

โปรโตคอล Model Context Protocol (MCP) ที่สร้างโดย Anthropic กำลังกลายเป็นมาตรฐานเปิดสำหรับการสื่อสารของ AI Agent ซึ่งบริษัทยักษ์ใหญ่อย่าง OpenAI และ Google DeepMind ก็รับไปใช้งาน แถมยังมียอดดาวน์โหลดทะลุ 150 ล้านครั้ง แต่ล่าสุดนักวิจัยจาก OX Security กลับพบปัญหาเชิงสถาปัตยกรรมที่อาจทำให้เซิร์ฟเวอร์กว่า 2 แสนเครื่องทั่วโลกตกอยู่ในความเสี่ยง

ปัญหาหลักอยู่ที่ระบบขนส่งข้อมูลแบบ STDIO ซึ่งเป็นค่าเริ่มต้นสำหรับการเชื่อมต่อ AI Agent เข้ากับเครื่องมือในเครื่อง (Local Tool) โดยระบบนี้จะประมวลผลคำสั่งระบบปฏิบัติการที่ได้รับมาแบบตรงไปตรงมา ไม่มีการทำ Sanitization (การทำความสะอาดและตรวจสอบข้อมูลก่อนประมวลผล) ทำให้แฮกเกอร์สามารถส่งคำสั่งอันตรายเข้าไปรันบนเซิร์ฟเวอร์ได้ทันที ซึ่งนักวิจัยพบว่ามีเซิร์ฟเวอร์กว่า 7,000 เครื่องที่เปิดพอร์ตนี้สู่สาธารณะ และประเมินว่ามีระบบที่เสี่ยงต่อการถูกโจมตีรวมกว่า 2 แสนเครื่อง

ช่องโหว่นี้รุนแรงจนทำให้เกิดรหัส CVEs (รหัสอ้างอิงช่องโหว่ความปลอดภัย) ระดับสูงและวิกฤตกว่า 10 รายการ กระทบแพลตฟอร์มดังอย่าง LiteLLM, LangFlow, Flowise และโปรแกรมเขียนโค้ด (IDE) อย่าง Windsurf และ Cursor โดยเฉพาะใน Windsurf ที่แฮกเกอร์สามารถใช้เทคนิค Zero-click Prompt Injection โจมตีเครื่องของนักพัฒนาได้ทันทีเพียงแค่เปิดเว็บไซต์ที่ฝังโค้ดอันตรายไว้

แต่ที่น่าสนใจคือปฏิกิริยาของ Anthropic ที่ออกมาระบุว่า พฤติกรรมนี้เป็นไปตาม "การออกแบบที่คาดหวังไว้" (Expected) โดยมองว่า STDIO มีหน้าที่รันโปรเซสในเครื่องอยู่แล้ว หากใครสามารถเข้ามาแก้ไฟล์คอนฟิกได้ ก็แปลว่าคนนั้นมีสิทธิ์รันคำสั่ง การจะไปจำกัดสิทธิ์ในระดับโปรโตคอลอาจทำให้ระบบพังได้ Anthropic จึงเลือกที่จะไม่อัปเดตแก้โค้ดใดๆ นอกจากเติมคำเตือนในไฟล์ SECURITY.md ว่าให้ "ใช้งานด้วยความระมัดระวัง" ซึ่งเท่ากับเป็นการผลักภาระไปให้นักพัฒนานับแสนคนต้องหาวิธีป้องกันการป้อนข้อมูลกันเอาเอง

แนวคิดการปล่อยให้ AI ทำงานโดยขาดกรอบป้องกันที่แน่นหนากำลังเป็นปัญหาใหญ่ในวงการ ก่อนหน้านี้ก็มี วิจัยพบ AI Agent รวมหัวแฮกระบบบริษัท เพียงเพราะโดนสั่งงานแบบกดดัน หรือแม้แต่ Microsoft เตือน Copilot Actions บน Windows เสี่ยงโดนแฮก-ดูดข้อมูล ซึ่งล้วนสะท้อนให้เห็นถึงความเสี่ยงของการให้สิทธิ์ AI มากเกินไป

สำหรับองค์กรหรือนักพัฒนาที่ใช้งาน MCP อยู่ ผู้เชี่ยวชาญแนะนำให้เร่งอุดช่องโหว่ด้วยตัวเองตามขั้นตอนดังนี้

1. Enumerate (สำรวจระบบ): ค้นหาไฟล์คอนฟิก MCP ทั้งหมดในระบบ (เช่น mcp.json) และตรวจสอบโปรเซสที่รันด้วย STDIO โดยเฉพาะตัวที่เชื่อมต่อกับอินเทอร์เน็ตสาธารณะ
2. Patch (อัปเดตซอฟต์แวร์): อัปเดตเครื่องมือต่างๆ เช่น LiteLLM ให้เป็นเวอร์ชันล่าสุดที่แพตช์ช่องโหว่แล้ว
3. Sandbox (จำกัดพื้นที่): แยกการทำงานของบริการ MCP ออกจากระบบปฏิบัติการหลัก (Host OS) และห้ามให้สิทธิ์เข้าถึงดิสก์แบบเต็มรูปแบบเด็ดขาด
4. Audit Registries (ตรวจสอบแหล่งที่มา): นักวิจัยพบว่า 9 ใน 11 แหล่งดาวน์โหลด MCP ยอมรับแพ็กเกจอันตรายโดยไม่ตรวจสอบ ดังนั้นควรโหลดจากแหล่งที่ไว้ใจได้เท่านั้น
5. Treat STDIO as Untrusted (อย่าไว้ใจ STDIO): ให้มองว่าทุกคอนฟิกของ STDIO คือจุดที่เสี่ยงต่อการถูกรันคำสั่งอันตราย และต้องตรวจสอบข้อมูลขาเข้าเสมอ

ในขณะที่บริษัทผู้สร้างเทคโนโลยีกับนักวิจัยด้านความปลอดภัยยังคงถกเถียงกันในเชิงปรัชญาว่าอะไรคือ "ฟีเจอร์" และอะไรคือ "ช่องโหว่" เซิร์ฟเวอร์นับแสนเครื่องก็ยังคงเปิดหน้าท้าทายแฮกเกอร์อยู่ทุกวินาที นี่อาจเป็นอีกหนึ่งตลกร้ายของวงการเทคโนโลยีที่เน้นสร้างของใหม่ให้เร็ว เปิดกว้างให้คนใช้เยอะๆ แล้วค่อยปล่อยให้ผู้บริโภคไปตามล้างตามเช็ดความเสี่ยงกันเอาเองในภายหลัง