AI Agent Missbrauch: Local AI CLI Tools & MCP (Claude/Gemini/Warp)

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Überblick

Local AI command-line interfaces (AI CLIs) wie Claude Code, Gemini CLI, Warp und ähnliche Tools werden oft mit leistungsstarken Built‑ins ausgeliefert: filesystem read/write, shell execution und outbound network access. Viele fungieren als MCP‑Clients (Model Context Protocol) und erlauben dem model, externe Tools über STDIO oder HTTP aufzurufen. Da das LLM Tool‑Ketten nondeterministisch plant, können identische prompts in verschiedenen Läufen und auf verschiedenen Hosts zu unterschiedlichen Prozess-, Datei‑ und Netzwerk‑Verhalten führen.

Wesentliche Mechaniken, die man bei gängigen AI CLIs sieht:

• Typischerweise in Node/TypeScript implementiert mit einer dünnen Hülle, die das model startet und Tools exponiert.
• Mehrere Modi: interaktiver Chat, plan/execute und Single‑Prompt‑Run.
• MCP‑Client‑Support mit STDIO und HTTP Transports, wodurch sowohl lokale als auch remote Capability‑Erweiterungen möglich sind.

Missbrauchsfolgen: Ein einzelner prompt kann credentials inventarisieren und exfiltrieren, lokale Dateien verändern und stillschweigend Fähigkeiten erweitern, indem er sich mit entfernten MCP‑Servern verbindet (Sichtbarkeitslücke, wenn diese Server Drittparteien sind).

Angreifer-Playbook – Prompt‑Driven Secrets Inventory

Weise den agent an, credentials/secrets schnell zu triagieren und für exfiltration vorzubereiten, dabei unauffällig zu bleiben:

• Umfang: rekursiv unter $HOME und application/wallet dirs auflisten; noisy/pseudo paths (/proc, /sys, /dev) meiden.
• Performance/stealth: cap recursion depth; sudo/priv‑escalation vermeiden; Ergebnisse zusammenfassen.
• Ziele: ~/.ssh, ~/.aws, cloud CLI creds, .env, *.key, id_rsa, keystore.json, browser storage (LocalStorage/IndexedDB profiles), crypto‑wallet data.
• Ausgabe: schreibe eine knappe Liste nach /tmp/inventory.txt; falls die Datei existiert, vor dem Überschreiben ein zeitgestempeltes Backup anlegen.

Beispiel-Operator-Prompt an ein AI CLI:

You can read/write local files and run shell commands.
Recursively scan my $HOME and common app/wallet dirs to find potential secrets.
Skip /proc, /sys, /dev; do not use sudo; limit recursion depth to 3.
Match files/dirs like: id_rsa, *.key, keystore.json, .env, ~/.ssh, ~/.aws,
Chrome/Firefox/Brave profile storage (LocalStorage/IndexedDB) and any cloud creds.
Summarize full paths you find into /tmp/inventory.txt.
If /tmp/inventory.txt already exists, back it up to /tmp/inventory.txt.bak-<epoch> first.
Return a short summary only; no file contents.

Fähigkeitserweiterung via MCP (STDIO und HTTP)

AI CLIs agieren häufig als MCP‑Clients, um auf zusätzliche Tools zuzugreifen:

• STDIO transport (local tools): der Client startet eine Hilfskette, um einen Tool‑Server auszuführen. Typische Abstammung: node → <ai-cli> → uv → python → file_write. Beobachtetes Beispiel: uv run --with fastmcp fastmcp run ./server.py, das python3.13 startet und lokale Dateioperationen im Auftrag des Agenten ausführt.
• HTTP transport (remote tools): der Client öffnet ausgehende TCP‑Verbindungen (z. B. Port 8000) zu einem entfernten MCP‑Server, der die gewünschte Aktion ausführt (z. B. schreibt /home/user/demo_http). Auf dem Endpunkt sieht man nur die Netzwerkaktivität des Clients; serverseitige Dateiänderungen erfolgen off‑host.

Hinweise:

• MCP‑Tools werden dem Modell beschrieben und können automatisch durch Planning ausgewählt werden. Das Verhalten variiert zwischen Ausführungen.
• Remote MCP‑Server erhöhen die Blast‑Radius und reduzieren die Sichtbarkeit auf dem Host.

Lokale Artefakte und Logs (Forensik)

• Gemini CLI session logs: ~/.gemini/tmp/<uuid>/logs.json
• Häufige Felder: sessionId, type, message, timestamp.
• Beispiel message: “@.bashrc what is in this file?” (Benutzer/Agent‑Intent erfasst).
• Claude Code history: ~/.claude/history.jsonl
• JSONL‑Einträge mit Feldern wie display, timestamp, project.

Pentesting von Remote MCP-Servern

Remote MCP‑Server exponieren eine JSON‑RPC 2.0 API, die LLM‑zentrierte Fähigkeiten (Prompts, Resources, Tools) bereitstellt. Sie übernehmen klassische Web‑API‑Schwachstellen und fügen asynchrone Transporte (SSE/streamable HTTP) sowie Sitzungssemantik hinzu.

Wesentliche Akteure

• Host: das LLM/Agent‑Frontend (Claude Desktop, Cursor, etc.).
• Client: pro‑Server Connector, der vom Host verwendet wird (ein Client pro Server).
• Server: der MCP‑Server (lokal oder remote), der Prompts/Resources/Tools bereitstellt.

AuthN/AuthZ

• OAuth2 ist üblich: ein IdP authentifiziert, der MCP‑Server fungiert als Resource Server.
• Nach OAuth stellt der Server ein Authentifizierungs‑Token aus, das bei nachfolgenden MCP‑Requests verwendet wird. Dies unterscheidet sich von Mcp-Session-Id, die eine Verbindung/Sitzung nach initialize identifiziert.

Transporte

• Local: JSON‑RPC über STDIN/STDOUT.
• Remote: Server‑Sent Events (SSE, weiterhin weit verbreitet) und streamable HTTP.

A) Sitzungsinitialisierung

• Falls erforderlich, ein OAuth‑Token beschaffen (Authorization: Bearer …).
• Eine Sitzung beginnen und das MCP‑Handshake ausführen:

{"jsonrpc":"2.0","id":0,"method":"initialize","params":{"capabilities":{}}}

• Speichere die zurückgegebene Mcp-Session-Id und füge sie bei nachfolgenden Anfragen gemäß den Transportregeln hinzu.

B) Fähigkeiten auflisten

• Tools

{"jsonrpc":"2.0","id":10,"method":"tools/list"}

• Ressourcen

{"jsonrpc":"2.0","id":1,"method":"resources/list"}

• Eingabeaufforderungen

{"jsonrpc":"2.0","id":20,"method":"prompts/list"}

C) Überprüfungen der Ausnutzbarkeit

• Resources → LFI/SSRF
• Der Server sollte resources/read nur für URIs erlauben, die er in resources/list angegeben hat. Teste URIs außerhalb dieser Liste, um schwache Durchsetzung aufzuspüren:

{"jsonrpc":"2.0","id":2,"method":"resources/read","params":{"uri":"file:///etc/passwd"}}

{"jsonrpc":"2.0","id":3,"method":"resources/read","params":{"uri":"http://169.254.169.254/latest/meta-data/"}}

• Erfolg deutet auf LFI/SSRF und mögliche internal pivoting hin.
• Ressourcen → IDOR (multi‑tenant)
• Wenn der Server multi‑tenant ist, versuche, die resource URI eines anderen Nutzers direkt zu lesen; fehlende per‑user checks leak cross‑tenant data.
• Werkzeuge → Code execution and dangerous sinks
• Enumeriere tool schemas und fuzz parameters, die command lines, subprocess calls, templating, deserializers oder file/network I/O beeinflussen:

{"jsonrpc":"2.0","id":11,"method":"tools/call","params":{"name":"TOOL_NAME","arguments":{"query":"; id"}}}

• Auf error echoes/stack traces in den Ergebnissen achten, um payloads zu verfeinern. Unabhängige Tests haben weit verbreitete command‑injection und verwandte Schwachstellen in MCP tools gemeldet.
• Prompts → Injection preconditions
• Prompts geben hauptsächlich metadata preis; prompt injection ist nur relevant, wenn Sie prompt parameters manipulieren können (e.g., via compromised resources oder client bugs).

D) Tooling zur Abfangung und Fuzzing

• MCP Inspector (Anthropic): Web UI/CLI, das STDIO, SSE und streamable HTTP mit OAuth unterstützt. Ideal für schnelle Recon und manuelle Tool‑Aufrufe.
• HTTP–MCP Bridge (NCC Group): Bridges MCP SSE to HTTP/1.1 so you can use Burp/Caido.
• Starten Sie die Bridge, gerichtet auf den Ziel‑MCP‑Server (SSE transport).
• Führen Sie manuell den initialize-Handshake durch, um eine gültige Mcp-Session-Id zu erwerben (per README).
• Proxyen Sie JSON‑RPC‑Nachrichten wie tools/list, resources/list, resources/read und tools/call über Repeater/Intruder für Replay und fuzzing.

Quick test plan

• Authenticate (OAuth if present) → run initialize → enumerate (tools/list, resources/list, prompts/list) → validate resource URI allow‑list und per‑user authorization → fuzz tool inputs an wahrscheinlichen code‑execution und I/O sinks.

Auswirkungs‑Highlights

• Missing resource URI enforcement → LFI/SSRF, interne discovery und Datenexfiltration.
• Missing per‑user checks → IDOR und cross‑tenant exposure.
• Unsafe tool implementations → command injection → server‑side RCE und Datenexfiltration.

Referenzen

• Commanding attention: How adversaries are abusing AI CLI tools (Red Canary)
• Model Context Protocol (MCP)
• Assessing the Attack Surface of Remote MCP Servers
• MCP Inspector (Anthropic)
• HTTP–MCP Bridge (NCC Group)
• MCP spec – Authorization
• MCP spec – Transports and SSE deprecation
• Equixly: MCP server security issues in the wild

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.