1. Lỗ hổng SQL Injection trên MCP server
• Một lỗ hổng SQL Injection nghiêm trọng được phát hiện trong phiên bản tham khảo (SQLite MCP server) do Anthropic phát triển – đã bị fork hơn 5.000 lần trước khi repo bị archive vào cuối tháng 5/2025. Kẻ tấn công có thể nhúng prompt độc hại vào cơ sở dữ liệu và lợi dụng agent để thực hiện các hành động nguy hiểm như đánh cắp dữ liệu hoặc thao túng workflow tự động.
• TrendMicro chỉ ra rằng bug SQLi này có thể “gây ra stored-prompt injection và exfiltration dữ liệu, dẫn đến toàn quyền tấn công chuỗi AI agent”.
________________________________________
2. Rủi ro command injection, credential leaks và server giả mạo
Các chuyên gia bảo mật còn cảnh báo thêm nhiều lỗ hổng khác trong MCP:
• Command Injection: Lệnh shell không được bảo vệ có thể bị lợi dụng để chạy mã độc.
• Credential Theft: Token xác thực (OAuth, API keys...) lưu trên server MCP dễ bị truy cập nếu server bị xâm nhập.
• Malicious Server / Tool Poisoning: Server MCP độc hại có thể giả danh server hợp pháp, chèn tool description có chứa mã lệnh nguy hiểm hoặc đánh lừa agent gọi tool đó.
________________________________________
3. Vulnerabilities của Inspector (MCP client)
Một lỗ hổng Remote Code Execution (CVE 2025 49596) được phát hiện trong MCP Inspector (công cụ debug bằng NodeJS), cho phép trang web độc hại thực thi lệnh trái phép trên máy cục bộ nếu không được cấu hình bảo mật đúng.
________________________________________
4. Giải pháp bảo mật cho MCP server
Các khuyến nghị bảo mật hiệu quả bao gồm:
1. Sử dụng parameterized queries để phòng SQL Injection thay vì nhúng trực tiếp lệnh vào chuỗi.
2. Xác thực và xác minh host/client: yêu cầu token, mutual TLS cho mọi kết nối, không mở server trên 0.0.0.0
3. MCP Guardian framework: bao gồm authentication, rate limiting, logging, tracing, và web application firewall – nâng cao độ an toàn toàn hệ thống.
4. Điều kiện cho AI agent (MCP client): áp đặt AI rules, prompts nghi ngờ khi tương tác với tool, để ngăn prompt injection.
5. Công cụ audit MCP như MCPSafetyScanner: quét lỗ hổng MI trước triển khai.
________________________________________
5. Tầm quan trọng của “Server MCP bảo mật cao”
Trong bối cảnh AI agent ngày càng tự động hóa và trực tiếp thao tác dữ liệu/điều khiển hệ thống:
• Một MCP server không an toàn có thể trở thành “cửa hậu” cho malware, rò rỉ dữ liệu nhạy cảm, hoặc thậm chí làm mất toàn bộ cơ sở hạ tầng nếu agent bị xâm phạm.
• Xây dựng server MCP với xác thực mạnh, kiểm tra đầu vào, giới hạn quyền truy cập, và logging chi tiết là yêu cầu thiết yếu trước khi triển khai trong môi trường enterprise.
________________________________________
• Model Context Protocol (MCP) là tương lai để AI agents kết nối đến dữ liệu và hệ thống ngoài, nhưng đi kèm nguy cơ bảo mật đáng kể.
• Các lỗ hổng SQLi, command injection, credential leak và RCE đã được phát hiện trong nhiều thành phần.
• Để đảm bảo an toàn, cần áp dụng phòng thủ nhiều lớp: từ mã nguồn an toàn, xác thực, audit, đến kiểm soát agent.
• “Server MCP bảo mật cao” không chỉ là tuỳ chọn, mà là yếu tố sống còn khi triển khai AI agent trong môi trường nghiêm ngặt (finance, critical infrastructure, enterprise).
VN
ENG 
