AI Threat Alert: potenziale manipolazione dell'agente di IA di Atlassian utilizzando attacchi "vivi da AI" identificati dai ricercatori
In una dimostrazione pionieristica, i ricercatori in cybersecurity di Cato Networks hanno condotto un attacco Proof of Concept (PoC) sul piattaforma Jira Service Management (JSM) di Atlassian. Questo attacco, definito 'Living off AI', evidenzia una potenziale vulnerabilità nell'utilizzo dell'Intelligenza Artificiale (AI) nella gestione dei dati sensibili.
L'attacco PoC ha comportato la presentazione di un ticket di supporto personalizzato da parte di un utente esterno. Il cyber-criminale non ha mai accesso direttamente al server Atlassian Model Context Protocol (MCP), ma ha utilizzato un ingegnere del supporto interno come proxy. Questo uso efficace dell'utente interno come proxy ha consentito al cyber-criminale di ottenere l'accesso completo senza alcuna sandboxing o validazione.
I server MCP, lanciati da Atlassian a maggio 2025, gestiscono e utilizzano informazioni contestuali all'interno dell'operazione di un modello. Consentono azioni guidate dall'IA come la sommariazione dei ticket, le risposte automatiche, la classificazione e le raccomandazioni intelligenti su JSM e Confluence. MCP consente agli ingegneri del supporto e agli utenti interni di interagire direttamente con l'IA dalle loro interfacce native, come Claude Sonnet.
Purtroppo, due giorni dopo la pubblicazione di una panoramica tecnica dell'attacco PoC in un rapporto condiviso in esclusiva con Infosecurity dal team di ricerca CTRL Threat di Cato il 19 giugno, Asana ha annunciato un bug nel suo server MCP che ha esposto i dati dei clienti ad altre organizzazioni.
Cato Networks consiglia di creare una regola per bloccare o segnalare qualsiasi chiamata remota al tool MCP, come creare, aggiungere o modificare, per prevenire o mitigare questo tipo di attacco. Il rischio di questo tipo di attacco non è specifico di Atlassian, ma piuttosto un modello che esiste in qualsiasi ambiente in cui l'IA esegue input non attendibili senza isolamento di prompt o controllo del contesto.
Microsoft ha pubblicato il server Model Context Protocol (MCP) a maggio 2025 come parte del rilascio dell'onda 2 di Microsoft Dataverse 2025, che si concentra sull'integrazione degli strumenti per i dati di Dataverse con i grandi modelli linguistici utilizzando il server MCP. L'architettura MCP include un host MCP e diversi server MCP.
L'attacco ha comportato l'esfiltr
Leggi anche:
- Un'antica spada dei crociati scoperta nel Mar Mediterraneo da un subacqueo israeliano dopo 900 anni
- Un subacqueo scopre un'antica spada crociata di 900 anni nel Mar Mediterraneo (appartenente a Israele)
- Le tattiche usate dagli tossicodipendenti per ingannare e le strategie per contrastare la droga
- Manuale per il lavoratore remoto per operare virtualmente in Canada utilizzando una scheda eSIM
