피드로 돌아가기
Anthropic response to 1-click pwn: Shouldn't have clicked 'ok'
The RegisterThe Register
Security

MCP 설정 주입을 통한 RCE 취약점 및 권한 모델 설계 결함 분석

Anthropic response to 1-click pwn: Shouldn't have clicked 'ok'

2026년 5월 7일3advanced

AI 요약

Context

AI Agent CLI의 프로젝트 기반 설정 파일(.mcp.json 등)을 통한 설정 주입 취약점 발생. 사용자 신뢰 기반의 일괄 권한 부여 모델이 공격자의 악성 MCP 서버 실행으로 이어지는 보안 아키텍처의 한계 노출.

Technical Solution

  • Project-scoped settings 내 enableAllProjectMcpServers 및 enabledMcpjsonServers 설정의 제한 없는 허용으로 인한 Injection 경로 생성
  • 사용자의 'Trust this folder' 동의 시 샌드박스 없는 Node.js 프로세스로 MCP 서버가 사용자 풀 권한으로 실행되는 구조
  • 프로젝트 내부 설정 파일이 스스로의 실행 권한을 승인하는 논리적 모순을 해결하기 위해 해당 설정 필드의 프로젝트 레벨 블로킹 필요
  • 전체 허용 방식에서 개별 MCP 서버별 Interactive Consent 기반의 권한 부여 모델로의 전환 설계
  • CI/CD 파이프라인 내 SDK 호출 시 인터랙티브 프롬프트 부재로 인한 Zero-click RCE 위험 차단 전략 수립

실천 포인트

- 설정 파일 기반의 자동 구성(Auto-configuration) 도입 시, 외부 유입 파일에 의한 권한 상승 가능성 검토 - '일괄 신뢰(Bulk Trust)' 대신 '최소 권한 원칙(Least Privilege)'에 기반한 개별 리소스 승인 프로세스 설계 - CLI 및 SDK 환경별로 서로 다른 인증/인가 흐름이 존재하는지 확인하고 일관된 보안 정책 적용

태그

#Injection Vector#Informed Consent#Privilege-Escalation#MCP#Remote Code Execution
원문 읽기