AI Agent Abuse: Local AI CLI Tools & MCP (Claude/Gemini/Warp)

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Oorsig

Lokaal AI-opdragreëlkoppelvlakke (AI CLIs) soos Claude Code, Gemini CLI, Warp en soortgelyke tools lewer dikwels kragtige ingeboude funksies: filesystem read/write, shell execution en outbound network access. Baie tree op as MCP-kliente (Model Context Protocol), wat die model toelaat om eksterne tools oor STDIO of HTTP aan te roep. Omdat die LLM hulpmiddelkettings nie-deterministies beplan, kan identiese prompts tot verskillende proses-, lêer- en netwerkgedrag oor draaie en gasheerrekenaars lei.

Sleutelmeganika wat in algemene AI CLIs waargeneem word:

• Tipies geïmplementeer in Node/TypeScript met ’n dun wrapper wat die model begin en tools blootstel.
• Meervoudige modi: interaktiewe chat, plan/execute, en single‑prompt run.
• MCP-klientondersteuning met STDIO- en HTTP-transporte, wat beide plaaslike en remote vermoënsuitbreiding moontlik maak.

Gevolge van misbruik: ’n Enkele prompt kan credentials inventariseer en exfiltrate, plaaslike lêers wysig, en stilweg vermoë uitbrei deur te koppel aan remote MCP servers (sigbaarheidsgaping as daardie servers derdepartye is).

Aanvaller Playbook – Prompt‑gedrewe geheime inventaris

Stel die agent in om vinnig credentials/geheimenisse te triageer en klaar te maak vir exfiltration terwyl dit stil bly:

• Omvang: rekurssief enumereer onder $HOME en application/wallet dirs; vermy lawaaierige/pseudo-paaie (/proc, /sys, /dev).
• Prestasie/stealth: begrens rekursiediepte; vermy sudo/priv‑escalation; som resultate op.
• Teikens: ~/.ssh, ~/.aws, cloud CLI creds, .env, *.key, id_rsa, keystore.json, browser storage (LocalStorage/IndexedDB profiles), crypto‑wallet data.
• Uitset: skryf ’n beknopte lys na /tmp/inventory.txt; as die lêer bestaan, skep ’n tydstempel-backup voor oorskrywing.

Voorbeeld operateur-prompt aan ’n AI CLI:

You can read/write local files and run shell commands.
Recursively scan my $HOME and common app/wallet dirs to find potential secrets.
Skip /proc, /sys, /dev; do not use sudo; limit recursion depth to 3.
Match files/dirs like: id_rsa, *.key, keystore.json, .env, ~/.ssh, ~/.aws,
Chrome/Firefox/Brave profile storage (LocalStorage/IndexedDB) and any cloud creds.
Summarize full paths you find into /tmp/inventory.txt.
If /tmp/inventory.txt already exists, back it up to /tmp/inventory.txt.bak-<epoch> first.
Return a short summary only; no file contents.

Vermoë‑uitbreiding via MCP (STDIO en HTTP)

AI CLIs tree dikwels op as MCP‑clients om by addisionele gereedskap te kom:

• STDIO transport (lokale tools): die kliënt spawn ’n helper‑ketting om ’n tool server te laat loop. Tipiese afkoms: node → <ai-cli> → uv → python → file_write. Voorbeeld waargeneem: uv run --with fastmcp fastmcp run ./server.py wat python3.13 start en plaaslike lêeroperasies namens die agent uitvoer.
• HTTP transport (remote tools): die kliënt open ’n uitgaande TCP‑verbinding (bv. port 8000) na ’n afgeleë MCP‑server, wat die versoekte aksie uitvoer (bv. write /home/user/demo_http). Op die endpunt sal jy slegs die kliënt se netwerkaktiwiteit sien; server‑side file touches gebeur off‑host.

Notas:

• MCP tools word aan die model beskryf en kan deur planning outo‑geselekteer word. Gedrag wissel tussen runs.
• Remote MCP servers vergroot die blast radius en verminder host‑side sigbaarheid.

Plaaslike artefakte en logs (Forensiek)

• Gemini CLI sessie logs: ~/.gemini/tmp/<uuid>/logs.json
• Velde wat algemeen gesien word: sessionId, type, message, timestamp.
• Voorbeeld message: “@.bashrc what is in this file?” (user/agent intent captured).
• Claude Code history: ~/.claude/history.jsonl
• JSONL‑inskrywings met velde soos display, timestamp, project.

Pentesting Afgeleë MCP Servers

Afgeleë MCP‑servers openbaar ’n JSON‑RPC 2.0 API wat LLM‑gesentreerde vermoëns (Prompts, Resources, Tools) voorhou. Hulle erf klassieke web API‑foute terwyl hulle asynchrone transports (SSE/streamable HTTP) en per‑sessie semantiek byvoeg.

Belangrike rolspelers

• Host: die LLM/agent frontend (Claude Desktop, Cursor, etc.).
• Client: per‑server connector wat deur die Host gebruik word (een client per server).
• Server: die MCP server (lokaal of remote) wat Prompts/Resources/Tools blootstel.

AuthN/AuthZ

• OAuth2 is algemeen: ’n IdP verifieer, die MCP server tree op as resource server.
• Na OAuth gee die server ’n authentication token uit wat in daaropvolgende MCP versoeke gebruik word. Dit is onderskeibaar van Mcp-Session-Id wat ’n konneksie/sessie identifiseer ná initialize.

Transports

• Lokaal: JSON‑RPC oor STDIN/STDOUT.
• Remote: Server‑Sent Events (SSE, steeds wyd ontplooi) en streamable HTTP.

A) Sessie‑initialisering

• Verkry OAuth token indien vereis (Authorization: Bearer …).
• Begin ’n sessie en voer die MCP handshake uit:

{"jsonrpc":"2.0","id":0,"method":"initialize","params":{"capabilities":{}}}

• Bewaar die teruggegewe Mcp-Session-Id en sluit dit in by volgende versoeke volgens transportreëls.

B) Enumereer vermoëns

• Tools

{"jsonrpc":"2.0","id":10,"method":"tools/list"}

• Hulpbronne

{"jsonrpc":"2.0","id":1,"method":"resources/list"}

• Aanwysings

{"jsonrpc":"2.0","id":20,"method":"prompts/list"}

C) Eksploiteerbaarheidstoetse

• Resources → LFI/SSRF
• Die server behoort slegs resources/read toe te laat vir URI’s wat dit in resources/list geadverteer het. Probeer URI’s buite die stel om swak afdwinging te ondersoek:

{"jsonrpc":"2.0","id":2,"method":"resources/read","params":{"uri":"file:///etc/passwd"}}

{"jsonrpc":"2.0","id":3,"method":"resources/read","params":{"uri":"http://169.254.169.254/latest/meta-data/"}}

• Sukses dui op LFI/SSRF en moontlike interne pivoting.
• Hulpbronne → IDOR (multi‑tenant)
• As die server multi‑tenant is, probeer om direk ’n ander gebruiker se resource URI te lees; ontbrekende per‑user kontroles leak cross‑tenant data.
• Gereedskap → Code execution en dangerous sinks
• Enumereer tool-skemas en fuzz-parameters wat command lines, subprocess calls, templating, deserializers, of file/network I/O beïnvloed:

{"jsonrpc":"2.0","id":11,"method":"tools/call","params":{"name":"TOOL_NAME","arguments":{"query":"; id"}}}

• Soek na fout‑echo’s/stapelspoor in resultate om payloads te verfyn. Onafhanklike toetsing het wydverspreide command‑injection en verwante foute in MCP tools gerapporteer.
• Prompts → Injection prevoorwaardes
• Prompts openbaar hoofsaaklik metadata; prompt injection is slegs relevant as jy prompt parameters kan manipuleer (bv. via gekompromitteerde resources of client‑bugs).

D) Gereedskap vir onderskepping en fuzzing

• MCP Inspector (Anthropic): Web UI/CLI wat STDIO, SSE en streambare HTTP met OAuth ondersteun. Ideaal vir vinnige recon en handmatige tool‑oproepe.
• HTTP–MCP Bridge (NCC Group): Skakel MCP SSE na HTTP/1.1 sodat jy Burp/Caido kan gebruik.
• Begin die bridge en rig dit na die teiken MCP‑bediener (SSE‑transport).
• Voer handmatig die initialize handshake uit om ’n geldige Mcp-Session-Id te bekom (per README).
• Proksieer JSON‑RPC boodskappe soos tools/list, resources/list, resources/read, en tools/call via Repeater/Intruder vir replay en fuzzing.

Vinnige toetsplan

• Authenticate (OAuth if present) → run initialize → enumerate (tools/list, resources/list, prompts/list) → valideer resource URI allow‑list en per‑user autorisasie → fuzz tool‑insette by waarskynlike code‑execution en I/O sinks.

Impak hoogtepunte

• Ontbrekende afdwinging van resource URI → LFI/SSRF, interne ontdekking en data‑diefstal.
• Ontbrekende per‑user kontroles → IDOR en kruis‑tenant blootstelling.
• Onveilige tool‑implementasies → command injection → server‑side RCE en data exfiltration.

References

• Commanding attention: How adversaries are abusing AI CLI tools (Red Canary)
• Model Context Protocol (MCP)
• Assessing the Attack Surface of Remote MCP Servers
• MCP Inspector (Anthropic)
• HTTP–MCP Bridge (NCC Group)
• MCP spec – Authorization
• MCP spec – Transports and SSE deprecation
• Equixly: MCP server security issues in the wild

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.