AI Agent Abuse: Local AI CLI Tools & MCP (Claude/Gemini/Warp)

Reading time: 7 minutes

Übersicht

Lokale AI command-line interfaces (AI CLIs) wie Claude Code, Gemini CLI, Warp und ähnliche Tools enthalten oft leistungsfähige eingebaute Funktionen: Dateisystem-Lese-/Schreibzugriff, Shell-Ausführung und ausgehenden Netzwerkzugriff. Viele fungieren als MCP-Clients (Model Context Protocol) und erlauben dem Modell, externe Tools über STDIO oder HTTP aufzurufen. Da das LLM Tool‑Ketten nicht-deterministisch plant, können identische Prompts über verschiedene Ausführungen und Hosts hinweg zu unterschiedlichen Prozess-, Datei- und Netzwerkverhalten führen.

Wesentliche Mechaniken in gängigen AI CLIs:

• Typischerweise in Node/TypeScript implementiert, mit einem dünnen Wrapper, der das Modell startet und Tools verfügbar macht.
• Mehrere Modi: interaktiver Chat, Plan/Execute und Single‑Prompt‑Ausführung.
• Unterstützung für MCP-Clients mit STDIO- und HTTP-Transportschichten, die sowohl lokale als auch entfernte Funktionserweiterung ermöglichen.

Missbrauchsauswirkung: Ein einziger Prompt kann Zugangsdaten inventarisieren und exfiltrieren, lokale Dateien verändern und die Fähigkeiten stillschweigend erweitern, indem er sich mit entfernten MCP-Servern verbindet (Sichtbarkeitslücke, wenn diese Server Dritter sind).

Angreifer-Playbook – Prompt‑gesteuerte Geheimnis‑Inventarisierung

Weisen Sie den Agenten an, schnell Zugangsdaten/Secrets für die Exfiltration zu triagieren und vorzubereiten, während er leise bleibt:

• Umfang: rekursiv unter $HOME und Anwendungs-/Wallet-Verzeichnissen auflisten; laute/pseudo Pfade vermeiden (/proc, /sys, /dev).
• Performance/Stealth: Rekursionstiefe begrenzen; sudo/Priv‑Escalation vermeiden; Ergebnisse zusammenfassen.
• Ziele: ~/.ssh, ~/.aws, Cloud‑CLI‑Zugangsdaten, .env, *.key, id_rsa, keystore.json, Browser‑Speicher (LocalStorage/IndexedDB‑Profile), Crypto‑Wallet‑Daten.
• Ausgabe: eine prägnante Liste nach /tmp/inventory.txt schreiben; existiert die Datei, vor dem Überschreiben ein Zeitstempel-Backup erstellen.

Beispiel‑Operator‑Prompt an ein AI CLI:

You can read/write local files and run shell commands.
Recursively scan my $HOME and common app/wallet dirs to find potential secrets.
Skip /proc, /sys, /dev; do not use sudo; limit recursion depth to 3.
Match files/dirs like: id_rsa, *.key, keystore.json, .env, ~/.ssh, ~/.aws,
Chrome/Firefox/Brave profile storage (LocalStorage/IndexedDB) and any cloud creds.
Summarize full paths you find into /tmp/inventory.txt.
If /tmp/inventory.txt already exists, back it up to /tmp/inventory.txt.bak-<epoch> first.
Return a short summary only; no file contents.

Erweiterung der Fähigkeiten via MCP (STDIO and HTTP)

AI CLIs fungieren häufig als MCP-Clients, um zusätzliche Tools zu erreichen:

• STDIO transport (lokale Tools): der Client startet eine Hilfskette, um einen Tool-Server zu betreiben. Typische Abstammung: node → <ai-cli> → uv → python → file_write. Beobachtetes Beispiel: uv run --with fastmcp fastmcp run ./server.py, das python3.13 startet und lokale Dateioperationen im Auftrag des Agents ausführt.
• HTTP transport (remote tools): der Client öffnet eine ausgehende TCP‑Verbindung (z. B. Port 8000) zu einem entfernten MCP-Server, der die angeforderte Aktion ausführt (z. B. schreibt /home/user/demo_http). Auf dem Endpoint siehst du nur die Netzwerkaktivität des Clients; serverseitige Dateizugriffe erfolgen off‑host.

Hinweise:

• MCP tools werden dem Modell beschrieben und können automatisch durch Planning ausgewählt werden. Das Verhalten variiert zwischen Läufen.
• Remote MCP-Server erhöhen den Blast‑Radius und verringern die Sichtbarkeit auf dem Host.

Lokale Artefakte und Logs (Forensik)

• Gemini CLI session logs: ~/.gemini/tmp/<uuid>/logs.json
• Typische Felder: sessionId, type, message, timestamp.
• Beispiel message: "@.bashrc what is in this file?" (user/agent intent captured).
• Claude Code history: ~/.claude/history.jsonl
• JSONL‑Einträge mit Feldern wie display, timestamp, project.

Korreliere diese lokalen Logs mit Requests, die an deinem LLM gateway/proxy (z. B. LiteLLM) beobachtet werden, um tampering/model‑hijacking zu erkennen: wenn das, was das Modell verarbeitet hat, vom lokalen Prompt/Output abweicht, untersuche injizierte Instruktionen oder kompromittierte Tool‑Deskriptoren.

Endpoint‑Telemetry‑Muster

Repräsentative Prozessketten auf Amazon Linux 2023 mit Node v22.19.0 und Python 3.13:

1. Eingebaute Tools (lokaler Dateizugriff)

• Parent‑Prozess: node .../bin/claude --model <model> (oder Äquivalent für die CLI)
• Unmittelbare Child‑Aktion: Erstelle/ändere eine lokale Datei (z. B. demo-claude). Verknüpfe das Dateiereignis über parent→child‑Abstammung.

2. MCP über STDIO (lokaler Tool‑Server)

• Kette: node → uv → python → file_write
• Beispiel‑Spawn: uv run --with fastmcp fastmcp run /home/ssm-user/tools/server.py

3. MCP über HTTP (remote Tool‑Server)

• Client: node/<ai-cli> öffnet ausgehende TCP‑Verbindung zu remote_port: 8000 (oder ähnlich)
• Server: remoter Python‑Prozess verarbeitet die Anfrage und schreibt /home/ssm-user/demo_http.

Da Agent‑Entscheidungen zwischen Läufen variieren, erwarte Variabilität bei genauen Prozessen und betroffenen Pfaden.

Erkennungsstrategie

Telemetry‑Quellen

• Linux EDR, das eBPF/auditd für Prozess‑, Datei‑ und Netzwerkereignisse nutzt.
• Lokale AI‑CLI‑Logs für Prompt/Intent‑Sichtbarkeit.
• LLM gateway logs (z. B. LiteLLM) zur Kreuzvalidierung und model‑tamper detection.

Hunting‑Heuristiken

• Führe sensitive Datei‑Zugriffe zurück auf eine AI‑CLI Parent‑Kette (z. B. node → <ai-cli> → uv/python).
• Alarmiere bei Zugriffen/Lesen/Schreiben unter: ~/.ssh, ~/.aws, Browser‑Profil‑Speicher, cloud CLI creds, /etc/passwd.
• Markiere unerwartete ausgehende Verbindungen vom AI‑CLI‑Prozess zu nicht genehmigten MCP‑Endpunkten (HTTP/SSE, Ports wie 8000).
• Korreliere lokale ~/.gemini/~/.claude Artefakte mit LLM‑Gateway Prompts/Outputs; Divergenzen deuten auf mögliches Hijacking hin.

Beispiel‑Pseudo‑Regeln (an dein EDR anpassen):

- when: file_write AND path IN ["$HOME/.ssh/*","$HOME/.aws/*","/etc/passwd"]
and ancestor_chain CONTAINS ["node", "claude|gemini|warp", "python|uv"]
then: alert("AI-CLI secrets touch via tool chain")

- when: outbound_tcp FROM process_name =~ "node|python" AND parent =~ "claude|gemini|warp"
and dest_port IN [8000, 3333, 8787]
then: tag("possible MCP over HTTP")

Härtungsideen

• Erzwinge eine explizite Benutzerfreigabe für Datei-/System-Tools; protokolliere und mache Tool-Pläne sichtbar.
• Beschränke den Netzwerk-Egress von AI‑CLI-Prozessen auf genehmigte MCP-Server.
• Sende/ingestiere lokale AI‑CLI-Logs und LLM-Gateway-Logs für konsistente, manipulationsresistente Audits.

Blue‑Team Repro-Notizen

Verwende eine saubere VM mit einem EDR oder eBPF-Tracer, um Ketten wie die folgenden zu reproduzieren:

• node → claude --model claude-sonnet-4-20250514 then immediate local file write.
• node → uv run --with fastmcp ... → python3.13 writing under $HOME.
• node/<ai-cli> establishing TCP to an external MCP server (port 8000) while a remote Python process writes a file.

Stelle sicher, dass deine Detektionen die Datei-/Netzwerkereignisse dem initiierenden AI‑CLI-Elternprozess zuordnen, um Fehlalarme zu vermeiden.

Referenzen

• Commanding attention: How adversaries are abusing AI CLI tools (Red Canary)
• Model Context Protocol (MCP)
• LiteLLM – LLM Gateway/Proxy