Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Tech Times · 1T SIDEN · sikkerhet

Tencents AI-Infra-Guard red team-tester KI-agenter i fire lag og reviderer MCP-forsyningskjeden

SYNOPSIS_GENERERT

Tencents Zhuque Lab slapp 30. juni AI-Infra-Guard, et open-source rammeverk som red team-tester KI-agenter i fire lag og reviderer MCP-servere som en forsyningskjede.

Der etablerte red teaming-verktøy som Microsofts PyRIT, NVIDIAs Garak og Promptfoo stopper ved modell-laget, deler Tencents Zhuque Lab angrepsflaten i fire. AI-Infra-Guard ble sluppet 30. juni under Apache 2.0 og løftet frem på HuggingFace Daily Papers 6. juli. Utgangspunktet er en observasjon de fleste verktøy overser: angrepsflaten til en moderne KI-agent er ikke flat, og hvert lag krever sin egen testmetode.

Bakgrunnen er MCP (Model Context Protocol), standarden Anthropic introduserte i 2024 og som OpenAI, Google DeepMind og Microsoft siden har tatt i bruk som limet mellom agenter og eksterne verktøy. Protokollen teller nå 97 millioner nedlastinger av SDK-et i måneden og over 10 000 aktive offentlige servere. En uavhengig analyse skannet i oktober 2025 hele 67 057 MCP-servere og fant 833 med utnyttbare tilstander og 18 med tool-beskrivelser designet for å styre agenten mot skadelig oppførsel.

«en brute-force ingeniørøvelse rundt bibliotekskonfigurasjon heller enn sikkerhets- og trygghetsprøving» — Raja Sekhar Rao Dheekonda, medforfatter av Microsofts PyRIT

AI-Infra-Guard tildeler ulik metode til hvert lag. Infrastruktur-laget bruker deterministisk regelmatching mot over 75 KI-komponenter og 1 400 sårbarhetsregler. Protokoll-laget kan ikke bruke signaturer, fordi sårbarhetene der er semantiske: en tool-beskrivelse ser legitim ut, men styrer agenten galt. Her kjører rammeverket en ReAct-agent (Reasoning + Action) som leser kode, kjører kommandoer og reviderer MCP-servere. Agent-laget tester flerstegs-angrep i fire risikofamilier, og modell-laget kjører 26 jailbreak-operatorer over seksten datasett.

Trusselen er ikke teoretisk. Anthropic avdekket i september 2025 at en kinesisk statsstøttet gruppe kapret Claude Code-oppsett til autonom spionasje mot rundt 30 mål. I mars 2026 pushet et forsyningskjede-angrep mot LiteLLM to bakdørs-versjoner til PyPI, lastet ned rundt 47 000 ganger på tre timer før pakken ble trukket. En Gravitee-undersøkelse fra juni 2026 fant at 88 % av organisasjonene som kjører KI-agenter i produksjon hadde bekreftet eller mistenkt en sikkerhetshendelse siste år.

Ett forbehold står i selve rapporten: under revisjon sender AI-Infra-Guard infrastruktur-metadata (URL-er, binær-hasher, avhengighetsinfo) til Tencent Cloud sine threat intelligence-APIer. Tencent er underlagt Kinas etterretningslov fra 2017, som pålegger kinesiske selskaper å samarbeide med statlige etterretningsforespørsler. Rammeverket er open source og kallene er inspiserbare, men team med data-residens-krav bør sjekke hvilke komponenter som krever eksterne kall før de deployer.

«et praktisk fundament for agent-sikkerhet og en felles base fellesskapet kan bygge videre på» — Zhuque Lab, om formålet med utgivelsen

Hva bør du gjøre?

  1. Revider MCP-servere og skill-pakker som en forsyningskjede: pinn versjoner og se etter stille oppdateringer i tidligere rene pakker, slik postmark-mcp la til en linje som BCC-et all e-post etter femten rene versjoner.
  2. Flytt red teaming forbi modell-laget: sjekk OWASP Top 10 for Agentic Applications 2026 og dekk infrastruktur-, protokoll- og agent-atferdslagene.
  3. Kartlegg hvilke skann-komponenter i AI-Infra-Guard som ringer Tencent Cloud, og kjør air-gapped hvis du håndterer sensitive eller regulerte systemer.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN