index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
网络安全研究人员发现Atlassian新推出的MCP服务存在漏洞,外部攻击者可在提交的工单中植入攻击指令,利用AI读取并执行,进而窃取企业内部数据。该漏洞利用了MCP(模型上下文协议)的特性,该协议允许AI深度整合进企业工作流,但同时也引入了新的安全风险。研究人员通过PoC攻击演示了如何通过Jira Service Management(JSM)执行恶意操作,强调了在AI驱动操作中缺乏提示隔离和上下文控制的风险,并提出了相应的缓解措施。
🚨Atlassian MCP服务漏洞允许攻击者在JSM中提交恶意工单,利用AI代理执行指令。攻击者通过精心构造的支持工单,触发MCP交互,进而控制支持工程师的操作。
💡MCP(模型上下文协议)是一项开放标准,由Anthropic于2024年11月发布,用于管理大模型运行过程中的上下文信息。Atlassian的MCP服务整合了AI驱动功能,如工单摘要、自动回复等,但同时也为攻击者提供了可乘之机。
🔑PoC攻击演示了攻击者如何访问JSM内部租户数据并窃取。攻击链包括提交恶意工单、AI执行注入指令、数据提取,以及可能的数据篡改。支持工程师在不知情的情况下充当了代理。
🛡️研究人员建议采取缓解措施,如阻止或告警远程MCP工具调用,以实施最小权限原则,监测可疑提示使用,并保持MCP活动的审计日志。这有助于预防和减轻此类攻击带来的风险。
带你读懂网络安全
研究人员发现,Atlassian新推出的MCP服务存在漏洞,外部攻击者可在向企业提交的工单中暗藏攻击指令,当使用MCP工具的支持工程师处理工单时,攻击指令被企业AI读取并执行,可读取企业JIRA内部数据并向外渗出。
安全内参6月25日消息,AI代理为IT工单服务带来了巨大潜力,同时也引入了新的风险。美国云安全公司Cato Networks的研究人员披露,知名研发软件厂商Atlassian推出的新型AI代理协议,可能被攻击者通过提示注入在Jira Service Management(JSM)中提交恶意支持工单。研究人员将这一概念验证(PoC)攻击命名为“以AI为生”(Living off AI)攻击,并在最新发布的报告中详细阐述了该PoC攻击的技术概览。
2025年5月,Atlassian推出MCP服务器,将AI深度整合进企业工作流。MCP(模型上下文协议)是一项开放标准,由美国知名大模型公司Anthropic(Claude出品方)于2024年11月首次发布。MCP服务器用于管理并利用大模型运行过程中的上下文信息。MCP的架构由本地运行的MCP主机和多个MCP服务器组成。充当代理的主机可以是AI驱动的应用程序(如Claude桌面版)、设备上的大模型(如Claude Sonnet),或集成开发环境(如Visual Studio)。Atlassian MCP服务支持多项AI驱动的功能,包括在JSM与Confluence中生成工单摘要、自动回复、分类及智能推荐等。它还允许支持工程师和内部用户通过原生界面直接与AI交互。
研究人员利用Atlassian的MCP资产对Atlassian JSM发起PoC攻击,演示匿名外部用户如何通过JSM执行一系列恶意操作,包括:通过提交工单触发Atlassian MCP交互,随后由使用Claude Sonnet等MCP工具的支持工程师处理,从而自动激活恶意流程;引导支持工程师在毫不知情的情况下,借助Atlassian MCP执行注入指令;访问JSM中原本对外部威胁者隐藏的内部租户数据;通过将提取的数据写回工单本身,实现对与支持工程师关联租户的数据窃取。
典型攻击链如下:外部用户提交经过精心构造的支持工单;与租户关联的内部代理或自动化工具调用连接至MCP的AI操作;工单中的提示注入有效载荷在内部权限下被执行;数据被提取至威胁者的工单,或在内部系统中遭到篡改;若缺乏沙箱或验证机制,威胁者即可借内部用户之手获得全面访问权限。
研究人员指出:“值得注意的是,在本次PoC演示中,威胁者从未直接访问Atlassian MCP。真正执行恶意指令的是毫不知情的支持工程师,他们被充当成了代理。”图:通过Jira Service Management进行的提示注入尽管本次攻击演示以Atlassian为例,Cato研究人员认为,任何在处理不受信输入时缺乏提示隔离或上下文控制的AI环境均面临同样风险。他们补充道:“我们展示的风险并非某一家厂商独有,而是一种通用模式。一旦外部输入流在MCP中得不到控制,威胁者就能滥用此路径,在无需身份验证的情况下获得特权访问。”“许多企业或已采用类似架构,将MCP服务器联通外部系统与内部AI逻辑,以提升工作流效率和自动化水平。此类设计模式带来全新的风险,必须严肃对待。”
研究人员建议,如要预防或缓解此类攻击,应制定规则,阻止或告警所有远程MCP工具调用(如创建、新增或编辑操作)。此举可帮助用户:在AI驱动操作中贯彻最小权限原则;实时监测可疑提示的使用;保持全网MCP活动的审计日志。
在该报告发布前几天,协同办公平台Asana宣布其MCP服务器存在漏洞,致使客户数据被暴露给其他组织。
参考资料:infosecurity-magazine.com
点击下方卡片关注我们,带你一起读懂网络安全 ↓
📍发表于:中国 北京
🔗️ 阅读原文
