AI Agent Abuse: Local AI CLI Tools & MCP (Claude/Gemini/Warp)

Reading time: 7 minutes

Επισκόπηση

Τοπικά command-line interfaces για AI (AI CLIs) όπως Claude Code, Gemini CLI, Warp και παρόμοια εργαλεία συχνά φέρουν ισχυρές ενσωματωμένες δυνατότητες: filesystem read/write, shell execution και outbound network access. Πολλά λειτουργούν ως MCP clients (Model Context Protocol), επιτρέποντας στο μοντέλο να καλεί εξωτερικά εργαλεία μέσω STDIO ή HTTP. Επειδή το LLM σχεδιάζει tool-chains μη-ντετερμινιστικά, ίδια prompts μπορούν να οδηγήσουν σε διαφορετικές συμπεριφορές διεργασιών, αρχείων και δικτύου ανάμεσα σε εκτελέσεις και hosts.

Κύριοι μηχανισμοί που παρατηρούνται σε κοινά AI CLIs:

• Συνήθως υλοποιούνται σε Node/TypeScript με ένα λεπτό wrapper που ξεκινάει το model και εκθέτει εργαλεία.
• Multiple modes: interactive chat, plan/execute, and single‑prompt run.
• MCP client support with STDIO and HTTP transports, enabling both local and remote capability extension.

Επίδραση κατάχρησης: Ένα μόνο prompt μπορεί να inventory και exfiltrate credentials, να τροποποιήσει local files, και να επεκτείνει σιωπηλά δυνατότητες συνδεόμενο σε απομακρυσμένους MCP servers (κενό ορατότητας αν εκείνοι οι servers είναι τρίτοι).

Playbook Επιτιθέμενου – Prompt‑Driven Καταγραφή Μυστικών

Ανάθεσε στον agent να κάνει γρήγορο triage και να προετοιμάσει credentials/secrets για exfiltration ενώ παραμένει αθόρυβος:

• Scope: αναδρομική καταγραφή κάτω από $HOME και application/wallet dirs; αποφυγή θορυβωδών/ψευδο διαδρομών (/proc, /sys, /dev).
• Performance/stealth: όρισε όριο βάθους recursion; αποφυγή sudo/priv‑escalation; σύνοψη αποτελεσμάτων.
• Targets: ~/.ssh, ~/.aws, cloud CLI creds, .env, *.key, id_rsa, keystore.json, browser storage (LocalStorage/IndexedDB profiles), crypto‑wallet data.
• Output: write a concise list to /tmp/inventory.txt; if the file exists, create a timestamped backup before overwrite.

Example operator prompt to an AI CLI:

You can read/write local files and run shell commands.
Recursively scan my $HOME and common app/wallet dirs to find potential secrets.
Skip /proc, /sys, /dev; do not use sudo; limit recursion depth to 3.
Match files/dirs like: id_rsa, *.key, keystore.json, .env, ~/.ssh, ~/.aws,
Chrome/Firefox/Brave profile storage (LocalStorage/IndexedDB) and any cloud creds.
Summarize full paths you find into /tmp/inventory.txt.
If /tmp/inventory.txt already exists, back it up to /tmp/inventory.txt.bak-<epoch> first.
Return a short summary only; no file contents.

Capability Extension via MCP (STDIO and HTTP)

AI CLIs συχνά λειτουργούν ως MCP clients για να έχουν πρόσβαση σε πρόσθετα εργαλεία:

• STDIO transport (local tools): ο client εκκινεί μια αλυσίδα βοηθητικών διεργασιών για να τρέξει έναν tool server. Τυπική καταγωγή: node → <ai-cli> → uv → python → file_write. Παράδειγμα που παρατηρήθηκε: uv run --with fastmcp fastmcp run ./server.py το οποίο ξεκινά python3.13 και εκτελεί τοπικές λειτουργίες αρχείων εκ μέρους του agent.
• HTTP transport (remote tools): ο client ανοίγει εξερχόμενο TCP (π.χ., port 8000) προς έναν απομακρυσμένο MCP server, ο οποίος εκτελεί το ζητούμενο (π.χ., write /home/user/demo_http). Στο endpoint θα δείτε μόνο τη network activity του client· τα server‑side file touches συμβαίνουν off‑host.

Notes:

• MCP tools περιγράφονται στο μοντέλο και μπορεί να επιλέγονται αυτόματα μέσω planning. Η συμπεριφορά ποικίλλει ανά εκτέλεση.
• Remote MCP servers αυξάνουν το blast radius και μειώνουν την host‑side visibility.

Local Artifacts and Logs (Forensics)

• Gemini CLI session logs: ~/.gemini/tmp/<uuid>/logs.json
• Fields commonly seen: sessionId, type, message, timestamp.
• Example message: "@.bashrc what is in this file?" (user/agent intent captured).
• Claude Code history: ~/.claude/history.jsonl
• JSONL entries with fields like display, timestamp, project.

Συνδέστε αυτά τα local logs με requests που παρατηρούνται στο LLM gateway/proxy σας (π.χ., LiteLLM) για να εντοπίσετε tampering/model‑hijacking: αν αυτό που επεξεργάστηκε το μοντέλο αποκλίνει από το local prompt/output, διερευνήστε injected instructions ή compromised tool descriptors.

Endpoint Telemetry Patterns

Representative chains on Amazon Linux 2023 with Node v22.19.0 and Python 3.13:

1. Built‑in tools (local file access)

• Parent: node .../bin/claude --model <model> (or equivalent for the CLI)
• Immediate child action: create/modify a local file (e.g., demo-claude). Συνδέστε το file event πίσω μέσω parent→child lineage.

2. MCP over STDIO (local tool server)

• Chain: node → uv → python → file_write
• Example spawn: uv run --with fastmcp fastmcp run /home/ssm-user/tools/server.py

3. MCP over HTTP (remote tool server)

• Client: node/<ai-cli> ανοίγει εξερχόμενο TCP προς remote_port: 8000 (ή παρόμοιο)
• Server: remote Python process χειρίζεται το request και γράφει /home/ssm-user/demo_http.

Επειδή οι agent decisions διαφέρουν ανά εκτέλεση, αναμένετε μεταβλητότητα στις ακριβείς διεργασίες και τους paths που αγγίζονται.

Detection Strategy

Telemetry sources

• Linux EDR using eBPF/auditd για process, file και network events.
• Local AI‑CLI logs για ορατότητα prompt/intent.
• LLM gateway logs (π.χ., LiteLLM) για cross‑validation και model‑tamper detection.

Hunting heuristics

• Συνδέστε sensitive file touches πίσω σε έναν AI‑CLI parent chain (π.χ., node → <ai-cli> → uv/python).
• Alert για access/reads/writes κάτω από: ~/.ssh, ~/.aws, browser profile storage, cloud CLI creds, /etc/passwd.
• Flag απροσδόκητες outbound connections από τη διεργασία AI‑CLI προς μη εγκεκριμένα MCP endpoints (HTTP/SSE, ports όπως 8000).
• Correlate local ~/.gemini/~/.claude artifacts με LLM gateway prompts/outputs; αποκλίσεις υποδεικνύουν πιθανή hijacking.

Example pseudo‑rules (adapt to your EDR):

- when: file_write AND path IN ["$HOME/.ssh/*","$HOME/.aws/*","/etc/passwd"]
and ancestor_chain CONTAINS ["node", "claude|gemini|warp", "python|uv"]
then: alert("AI-CLI secrets touch via tool chain")

- when: outbound_tcp FROM process_name =~ "node|python" AND parent =~ "claude|gemini|warp"
and dest_port IN [8000, 3333, 8787]
then: tag("possible MCP over HTTP")

Ιδέες θωράκισης

• Απαιτήστε ρητή έγκριση χρήστη για εργαλεία αρχείων/συστήματος· καταγράψτε και εμφανίστε τα σχέδια των εργαλείων.
• Περιορίστε την εξερχόμενη δικτύωση για τις διεργασίες AI‑CLI σε εγκεκριμένους MCP servers.
• Αποστείλετε/εισάγετε τα τοπικά logs AI‑CLI και τα logs του LLM gateway για συνεπή, ανθεκτικό σε παραποίηση έλεγχο.

Σημειώσεις αναπαραγωγής Blue‑Team

Χρησιμοποιήστε ένα καθαρό VM με EDR ή eBPF tracer για να αναπαράγετε αλυσίδες όπως:

• node → claude --model claude-sonnet-4-20250514 then immediate local file write.
• node → uv run --with fastmcp ... → python3.13 writing under $HOME.
• node/<ai-cli> establishing TCP to an external MCP server (port 8000) while a remote Python process writes a file.

Επαληθεύστε ότι οι ανιχνεύσεις σας συνδέουν τα γεγονότα αρχείων/δικτύου πίσω στη διεργασία γονέα AI‑CLI που τα ξεκίνησε, για να αποφύγετε false positives.

Αναφορές

• Commanding attention: How adversaries are abusing AI CLI tools (Red Canary)
• Model Context Protocol (MCP)
• LiteLLM – LLM Gateway/Proxy