Wykorzystywanie agentów AI: lokalne narzędzia CLI AI i MCP (Claude/Gemini/Warp)

Reading time: 6 minutes

Przegląd

Lokalne interfejsy wiersza poleceń dla AI (AI CLIs) takie jak Claude Code, Gemini CLI, Warp i podobne narzędzia często zawierają potężne wbudowane funkcje: odczyt/zapis systemu plików, wykonywanie poleceń w shellu oraz wychodzący dostęp sieciowy. Wiele z nich działa jako klienci MCP (Model Context Protocol), pozwalając modelowi wywoływać zewnętrzne narzędzia przez STDIO lub HTTP. Ponieważ LLM planuje łańcuchy narzędzi w sposób niedeterministyczny, identyczne prompty mogą powodować różne zachowania procesów, plików i sieci pomiędzy uruchomieniami i hostami.

Kluczowe mechanizmy obserwowane w popularnych AI CLI:

• Zwykle implementowane w Node/TypeScript z cienką warstwą uruchamiającą model i udostępniającą narzędzia.
• Wiele trybów: czat interaktywny, plan/execute oraz uruchomienie pojedynczego promptu.
• Obsługa klientów MCP z transportami STDIO i HTTP, umożliwiająca rozszerzanie możliwości lokalnie i zdalnie.

Skutki nadużyć: pojedynczy prompt może zinwentaryzować i exfiltrate credentials, modyfikować lokalne pliki oraz cicho rozszerzyć możliwości poprzez połączenie z zdalnymi serwerami MCP (luka w widoczności, jeśli te serwery należą do stron trzecich).

Playbook atakującego – Inwentaryzacja sekretów sterowana przez prompt

Zadanie agenta: szybko posegregować i przygotować credentials/secrets do exfiltration, zachowując ciszę:

• Zakres: rekurencyjnie enumerować pod $HOME oraz katalogami aplikacji/portfeli; unikać hałaśliwych/pseudo ścieżek (/proc, /sys, /dev).
• Wydajność/ukrycie: ograniczyć głębokość rekurencji; unikać sudo/priv‑escalation; podsumować wyniki.
• Cele: ~/.ssh, ~/.aws, cloud CLI creds, .env, *.key, id_rsa, keystore.json, browser storage (LocalStorage/IndexedDB profiles), crypto‑wallet data.
• Wynik: zapisać zwięzłą listę do /tmp/inventory.txt; jeśli plik istnieje, utworzyć kopię zapasową ze znacznikiem czasu przed nadpisaniem.

Przykładowy prompt operatora do AI CLI:

You can read/write local files and run shell commands.
Recursively scan my $HOME and common app/wallet dirs to find potential secrets.
Skip /proc, /sys, /dev; do not use sudo; limit recursion depth to 3.
Match files/dirs like: id_rsa, *.key, keystore.json, .env, ~/.ssh, ~/.aws,
Chrome/Firefox/Brave profile storage (LocalStorage/IndexedDB) and any cloud creds.
Summarize full paths you find into /tmp/inventory.txt.
If /tmp/inventory.txt already exists, back it up to /tmp/inventory.txt.bak-<epoch> first.
Return a short summary only; no file contents.

Rozszerzanie możliwości za pomocą MCP (STDIO i HTTP)

AI CLIs często działają jako klienci MCP, aby uzyskać dostęp do dodatkowych narzędzi:

• STDIO transport (local tools): klient tworzy łańcuch pomocniczy do uruchomienia serwera narzędzi. Typical lineage: node → <ai-cli> → uv → python → file_write. Przykład zaobserwowany: uv run --with fastmcp fastmcp run ./server.py, który uruchamia python3.13 i wykonuje lokalne operacje na plikach w imieniu agenta.
• HTTP transport (remote tools): klient otwiera wychodzące TCP (np. port 8000) do zdalnego serwera MCP, który wykonuje żądaną akcję (np. zapis /home/user/demo_http). Na endpointcie zobaczysz tylko aktywność sieciową klienta; operacje na plikach po stronie serwera odbywają się poza hostem.

Notatki:

• Narzędzia MCP są opisywane modelowi i mogą być automatycznie wybierane podczas planowania. Zachowanie różni się między uruchomieniami.
• Zdalne serwery MCP zwiększają blast radius i zmniejszają widoczność po stronie hosta.

Lokalnie artefakty i logi (Forensics)

• Gemini CLI session logs: ~/.gemini/tmp/<uuid>/logs.json
• Pola często spotykane: sessionId, type, message, timestamp.
• Example message: "@.bashrc what is in this file?" (zachowana intencja użytkownika/agenta).
• Claude Code history: ~/.claude/history.jsonl
• Wpisy JSONL z polami takimi jak display, timestamp, project.

Korelować te lokalne logi z żądaniami obserwowanymi na twoim LLM gateway/proxy (np. LiteLLM), aby wykryć manipulacje/przejęcie modelu: jeśli to, co model przetworzył, odbiega od lokalnego promptu/wyjścia, zbadaj wstrzyknięte instrukcje lub przejęte deskryptory narzędzi.

Wzorce telemetrii endpointu

Przykładowe ciągi procesów na Amazon Linux 2023 z Node v22.19.0 i Python 3.13:

1. Wbudowane narzędzia (lokalny dostęp do plików)

• Proces nadrzędny: node .../bin/claude --model <model> (lub równoważny dla CLI)
• Bezpośrednia akcja potomna: utworzenie/modyfikacja lokalnego pliku (np. demo-claude). Skojarz zdarzenie pliku z parent→child lineage.

2. MCP przez STDIO (lokalny serwer narzędzi)

• Chain: node → uv → python → file_write
• Przykładowe uruchomienie: uv run --with fastmcp fastmcp run /home/ssm-user/tools/server.py

3. MCP przez HTTP (zdalny serwer narzędzi)

• Klient: node/<ai-cli> otwiera wychodzące połączenie TCP do remote_port: 8000 (lub podobnego)
• Serwer: zdalny proces Python obsługuje żądanie i zapisuje /home/ssm-user/demo_http.

Ponieważ decyzje agenta różnią się między uruchomieniami, oczekuj zmienności w dokładnych procesach i ścieżkach plików.

Strategia wykrywania

Źródła telemetrii

• Linux EDR używający eBPF/auditd do zdarzeń procesów, plików i sieci.
• Lokalne logi AI‑CLI dla widoczności promptu/intencji.
• Logi LLM gateway (np. LiteLLM) do weryfikacji krzyżowej i wykrywania manipulacji modelem.

Heurystyki polowania

• Powiąż dostęp do wrażliwych plików z łańcuchem nadrzędnym AI‑CLI (np. node → <ai-cli> → uv/python).
• Generuj alert dla dostępu/odczytów/zapisów w: ~/.ssh, ~/.aws, przechowalnia profilu przeglądarki, poświadczenia cloud CLI, /etc/passwd.
• Oznacz nieoczekiwane wychodzące połączenia z procesu AI‑CLI do niezatwierdzonych endpointów MCP (HTTP/SSE, porty takie jak 8000).
• Koreluj lokalne artefakty ~/.gemini/~/.claude z promptami/wyjściami LLM gateway; rozbieżność wskazuje możliwe przejęcie.

Przykładowe pseudo‑reguły (dostosuj do swojego EDR):

- when: file_write AND path IN ["$HOME/.ssh/*","$HOME/.aws/*","/etc/passwd"]
and ancestor_chain CONTAINS ["node", "claude|gemini|warp", "python|uv"]
then: alert("AI-CLI secrets touch via tool chain")

- when: outbound_tcp FROM process_name =~ "node|python" AND parent =~ "claude|gemini|warp"
and dest_port IN [8000, 3333, 8787]
then: tag("possible MCP over HTTP")

Pomysły na wzmocnienie zabezpieczeń

• Wymagaj wyraźnej zgody użytkownika dla narzędzi operujących na plikach/systemie; loguj i ujawniaj plany działania narzędzi.
• Ogranicz wychodzący ruch sieciowy procesów AI‑CLI do zatwierdzonych serwerów MCP.
• Przekazuj i konsoliduj lokalne logi AI‑CLI oraz logi LLM gateway, aby uzyskać spójny, odporny na manipulacje audyt.

Notatki Blue‑Team dotyczące reprodukcji

Użyj czystej VM z EDR lub eBPF tracerem, aby odtworzyć łańcuchy takie jak:

• node → claude --model claude-sonnet-4-20250514 a następnie natychmiastowy zapis pliku lokalnie.
• node → uv run --with fastmcp ... → python3.13 zapis pod $HOME.
• node/<ai-cli> nawiązujące połączenie TCP z zewnętrznym serwerem MCP (port 8000), podczas gdy zdalny proces Python zapisuje plik.

Zweryfikuj, że twoje wykrycia wiążą zdarzenia plikowe/sieciowe z inicjującym procesem macierzystym AI‑CLI, aby uniknąć fałszywych alarmów.

Odnośniki

• Commanding attention: How adversaries are abusing AI CLI tools (Red Canary)
• Model Context Protocol (MCP)
• LiteLLM – LLM Gateway/Proxy