-
09/04/2020
-
116
-
1.203 bài viết
Hơn 3.000 máy chủ AI bị đe dọa bởi lỗ hổng nghiêm trọng trong nền tảng Smithery.ai
Một lỗ hổng nghiêm trọng vừa được phát hiện trong Smithery.ai, nền tảng registry phổ biến dành cho Model Context Protocol (MCP), có thể đã khiến hơn 3.000 máy chủ AI và hàng nghìn khóa API của người dùng bị rò rỉ. Sự cố được GitGuardian phát hiện trong quá trình nghiên cứu cơ chế hoạt động của nền tảng, vốn được sử dụng để kết nối các ứng dụng AI với công cụ và dữ liệu bên ngoài như thư mục lưu trữ trên máy tính hoặc cơ sở dữ liệu từ xa.
MCP vận hành theo mô hình máy chủ – ứng dụng, trong đó máy chủ có thể được triển khai tại chỗ hoặc lưu trữ trên nền tảng đám mây. Smithery.ai áp dụng mô hình lai, cho phép người dùng gửi mã nguồn từ GitHub để hệ thống tự động xây dựng thành Docker image và lưu trữ trên hạ tầng của mình. Cách làm này giúp việc triển khai trở nên nhanh chóng và thuận tiện hơn, nhưng đồng thời cũng làm gia tăng rủi ro bảo mật vì chỉ một sai sót nhỏ có thể ảnh hưởng đến toàn bộ hệ sinh thái các công cụ AI phụ thuộc vào MCP.
Nguyên nhân của sự cố xuất phát từ quy trình xây dựng Docker chưa được kiểm soát chặt chẽ. Người dùng có thể cấu hình tệp smithery.yaml để chỉ định đường dẫn build thông qua tham số dockerBuildPath, vốn chỉ nên trỏ vào thư mục bên trong kho mã. Tuy nhiên, hệ thống không kiểm tra tính hợp lệ của tham số này, dẫn đến khả năng Path Traversal, cho phép kẻ tấn công truy cập ra ngoài phạm vi thư mục dự án. Bằng cách đặt giá trị dockerBuildPath là “..”, kẻ tấn công có thể tiếp cận tới thư mục gốc của máy chủ build và khai thác các tệp nhạy cảm.
Trong quá trình thử nghiệm, GitGuardian đã tạo một kho lưu trữ giả lập với tệp yaml và Dockerfile chứa mã độc. Khi quá trình build được kích hoạt, Dockerfile này sử dụng lệnh curl để gửi toàn bộ cây thư mục của máy chủ build đến một máy chủ bên ngoài do nhóm kiểm soát. Dữ liệu thu được bao gồm tệp .docker/config.json, trong đó chứa token xác thực của Fly.io – dịch vụ hạ tầng mà Smithery sử dụng để lưu trữ máy chủ. Token này ban đầu chỉ được cấp quyền truy cập registry Docker, nhưng thực tế lại cho phép điều khiển Fly.io Machine API ở cấp tổ chức, mở ra khả năng chiếm quyền kiểm soát hệ thống.
Khóa máy chủ bị xâm phạm
Với token này, kẻ tấn công có thể liệt kê danh sách ứng dụng, thực thi lệnh trên máy chủ, thậm chí xác minh quyền root bằng lệnh “id”. Theo GitGuardian, token cho phép truy cập đến hơn 3.200 ứng dụng đang hoạt động, chủ yếu là máy chủ MCP cùng các dịch vụ phụ trợ. Khi phân tích lưu lượng mạng, nhóm phát hiện nhiều yêu cầu HTTP gửi đến các máy chủ bị xâm nhập có chứa khóa API của người dùng, chẳng hạn như khóa Brave được truyền qua tham số truy vấn. Nếu bị khai thác ở quy mô lớn, kỹ thuật này có thể giúp tin tặc thu thập hàng loạt khóa API từ những dịch vụ đang kết nối qua hệ thống MCP bị ảnh hưởng.
Sự cố này cho thấy mức độ nguy hiểm của rủi ro chuỗi cung ứng trong hạ tầng AI. Chỉ một lỗi trong khâu cấu hình hay quy trình build cũng có thể dẫn đến rò rỉ thông tin xác thực, chiếm quyền điều khiển máy chủ và gây ảnh hưởng dây chuyền. Nhiều máy chủ MCP hiện vẫn sử dụng khóa API tĩnh thay vì cơ chế xác thực linh hoạt như OAuth, khiến việc giới hạn đặc quyền trở nên khó khăn và làm tăng nguy cơ bị lạm dụng.
Smithery đã khắc phục lỗ hổng vào ngày 15/6/2025, hai ngày sau khi nhận được thông báo từ GitGuardian. Nền tảng cũng tiến hành xoay vòng các khóa truy cập, rà soát hạ tầng và thắt chặt quy trình xây dựng Docker nhằm ngăn chặn sự cố tái diễn. Tuy vậy, vụ việc tiếp tục nhấn mạnh tầm quan trọng của việc cách ly môi trường xây dựng với môi trường triển khai, đồng thời đặt ra yêu cầu cấp thiết về bảo vệ chuỗi cung ứng trong các nền tảng AI đang phát triển nhanh chóng.
MCP vận hành theo mô hình máy chủ – ứng dụng, trong đó máy chủ có thể được triển khai tại chỗ hoặc lưu trữ trên nền tảng đám mây. Smithery.ai áp dụng mô hình lai, cho phép người dùng gửi mã nguồn từ GitHub để hệ thống tự động xây dựng thành Docker image và lưu trữ trên hạ tầng của mình. Cách làm này giúp việc triển khai trở nên nhanh chóng và thuận tiện hơn, nhưng đồng thời cũng làm gia tăng rủi ro bảo mật vì chỉ một sai sót nhỏ có thể ảnh hưởng đến toàn bộ hệ sinh thái các công cụ AI phụ thuộc vào MCP.
Nguyên nhân của sự cố xuất phát từ quy trình xây dựng Docker chưa được kiểm soát chặt chẽ. Người dùng có thể cấu hình tệp smithery.yaml để chỉ định đường dẫn build thông qua tham số dockerBuildPath, vốn chỉ nên trỏ vào thư mục bên trong kho mã. Tuy nhiên, hệ thống không kiểm tra tính hợp lệ của tham số này, dẫn đến khả năng Path Traversal, cho phép kẻ tấn công truy cập ra ngoài phạm vi thư mục dự án. Bằng cách đặt giá trị dockerBuildPath là “..”, kẻ tấn công có thể tiếp cận tới thư mục gốc của máy chủ build và khai thác các tệp nhạy cảm.
Trong quá trình thử nghiệm, GitGuardian đã tạo một kho lưu trữ giả lập với tệp yaml và Dockerfile chứa mã độc. Khi quá trình build được kích hoạt, Dockerfile này sử dụng lệnh curl để gửi toàn bộ cây thư mục của máy chủ build đến một máy chủ bên ngoài do nhóm kiểm soát. Dữ liệu thu được bao gồm tệp .docker/config.json, trong đó chứa token xác thực của Fly.io – dịch vụ hạ tầng mà Smithery sử dụng để lưu trữ máy chủ. Token này ban đầu chỉ được cấp quyền truy cập registry Docker, nhưng thực tế lại cho phép điều khiển Fly.io Machine API ở cấp tổ chức, mở ra khả năng chiếm quyền kiểm soát hệ thống.
Khóa máy chủ bị xâm phạm
Với token này, kẻ tấn công có thể liệt kê danh sách ứng dụng, thực thi lệnh trên máy chủ, thậm chí xác minh quyền root bằng lệnh “id”. Theo GitGuardian, token cho phép truy cập đến hơn 3.200 ứng dụng đang hoạt động, chủ yếu là máy chủ MCP cùng các dịch vụ phụ trợ. Khi phân tích lưu lượng mạng, nhóm phát hiện nhiều yêu cầu HTTP gửi đến các máy chủ bị xâm nhập có chứa khóa API của người dùng, chẳng hạn như khóa Brave được truyền qua tham số truy vấn. Nếu bị khai thác ở quy mô lớn, kỹ thuật này có thể giúp tin tặc thu thập hàng loạt khóa API từ những dịch vụ đang kết nối qua hệ thống MCP bị ảnh hưởng.
Sự cố này cho thấy mức độ nguy hiểm của rủi ro chuỗi cung ứng trong hạ tầng AI. Chỉ một lỗi trong khâu cấu hình hay quy trình build cũng có thể dẫn đến rò rỉ thông tin xác thực, chiếm quyền điều khiển máy chủ và gây ảnh hưởng dây chuyền. Nhiều máy chủ MCP hiện vẫn sử dụng khóa API tĩnh thay vì cơ chế xác thực linh hoạt như OAuth, khiến việc giới hạn đặc quyền trở nên khó khăn và làm tăng nguy cơ bị lạm dụng.
Smithery đã khắc phục lỗ hổng vào ngày 15/6/2025, hai ngày sau khi nhận được thông báo từ GitGuardian. Nền tảng cũng tiến hành xoay vòng các khóa truy cập, rà soát hạ tầng và thắt chặt quy trình xây dựng Docker nhằm ngăn chặn sự cố tái diễn. Tuy vậy, vụ việc tiếp tục nhấn mạnh tầm quan trọng của việc cách ly môi trường xây dựng với môi trường triển khai, đồng thời đặt ra yêu cầu cấp thiết về bảo vệ chuỗi cung ứng trong các nền tảng AI đang phát triển nhanh chóng.
Theo Cyber Security News