Microsoft signaleert een nieuw aanvalspatroon op AI-agenten via misbruik van Model Context Protocol (MCP)-tools.
Microsoft Incident Response analyseert hoe aanvallers de toeleveringsketen van AI kunnen misbruiken door MCP-tools te vergiftigen. Aanvallers kunnen namelijk de beschrijving van MCP-tools manipuleren om AI-agenten aan te zetten tot ongewenste acties, zoals bijvoorbeeld gevoelige gegevens lekken.
Volgens IDC groeit het aantal actieve AI-agenten in bedrijven van bijna 30 miljoen in 2025 naar ruim twee miljard in 2030. Dit maakt supply chain-beveiliging en continue controle op integraties essentieel, zeker nu de OWASP Top 10 voor Agentic Applications als een nieuw referentiekader geldt.
Nieuw aanvalspatroon bij AI-agenten
Microsoft beschrijft een aanval waarbij een Copilot Studio-agent in een financiële workflow wordt misbruikt via MCP-toolvergiftiging. De aanval verloopt in vier fases: eerst wordt de toolbeschrijving onopvallend aangepast; daarna activeert een metadatawijziging zonder herbeoordeling de geïnfecteerde instructies; vervolgens roept een gebruiker onbewust de besmette tool aan, waarna gevoelige data ongemerkt worden doorgestuurd naar een externe server.
Het bijzondere aan deze aanval is dat elke stap op zich legitiem lijkt. De kwetsbaarheid ontstaat door het vertrouwen tussen goedgekeurde tools en agenten, niet door een fout in Copilot zelf. Door manipulatie van toolmetadata kan een aanvaller het gedrag van een agent onopgemerkt sturen, wat risico’s oplevert voor datalekken en ongeautoriseerde acties.
Beveiligingsmaatregelen
Microsoft adviseert om de hele MCP-supply chain als kritieke afhankelijkheid te behandelen. Organisaties moeten een goedgekeurde lijst van MCP-servers bijhouden, metadata van tools grondig controleren en menselijke goedkeuring instellen voor risicovolle acties. Tools als Prompt Shields, Microsoft Purview DLP en Defender for Cloud AI Protection zijn inzetbaar voor inspectie en detectie van afwijkend gedrag.
Het principe van ‘least agency’ moet worden toegepast: zelfs een agent met minimale rechten kan gevaarlijk zijn als die te veel autonomie krijgt. Monitoring met Microsoft Sentinel en periodieke herzieningen van agentgedrag zijn essentieel om afwijkingen snel te detecteren.
