Zloupotreba AI agenata: lokalni AI CLI alati & MCP (Claude/Gemini/Warp)

Reading time: 6 minutes

Pregled

Lokalni AI command-line interfejsi (AI CLIs) poput Claude Code, Gemini CLI, Warp i sličnih često dolaze sa moćnim ugrađenim funkcionalnostima: filesystem read/write, shell execution i outbound network access. Mnogi rade kao MCP klijenti (Model Context Protocol), dozvoljavajući modelu da poziva eksterne alate preko STDIO ili HTTP. Pošto LLM planira lanac alata nedeterministički, identični prompti mogu dovesti do različitih ponašanja procesa, datoteka i mreže između pokretanja i hostova.

Ključne mehanike viđene u uobičajenim AI CLI alatima:

• Obično implementirani u Node/TypeScript sa tankim omotačem koji pokreće model i izlaže alate.
• Više režima: interaktivni chat, plan/execute i jednorazovno pokretanje iz prompta.
• Podrška za MCP klijenta sa STDIO i HTTP transportima, omogućavajući proširenje mogućnosti lokalno i na daljinu.

Uticaj zloupotrebe: Jedan prompt može inventarisati i exfiltrate credentials, izmeniti lokalne datoteke i tiho proširiti mogućnosti povezivanjem na udaljene MCP servere (nedostatak vidljivosti ako su ti serveri third‑party).

Vodič napadača – inventar tajni vođen promptom

Naložite agentu da brzo triže i pripremi kredencijale/tajne za exfiltraciju dok ostane neprimetan:

• Scope: rekurzivno nabrojati sadržaj ispod $HOME i direktorijuma aplikacija/novčanika; izbegavati noisy/pseudo putanje (/proc, /sys, /dev).
• Performance/stealth: ograničiti dubinu rekurzije; izbegavati sudo/priv‑escalation; sažeti rezultate.
• Targets: ~/.ssh, ~/.aws, cloud CLI creds, .env, *.key, id_rsa, keystore.json, browser storage (LocalStorage/IndexedDB profiles), crypto‑wallet data.
• Output: zapisati sažet spisak u /tmp/inventory.txt; ako fajl postoji, napraviti backup sa vremenskom oznakom pre prepisivanja.

Example operator prompt to an AI CLI:

You can read/write local files and run shell commands.
Recursively scan my $HOME and common app/wallet dirs to find potential secrets.
Skip /proc, /sys, /dev; do not use sudo; limit recursion depth to 3.
Match files/dirs like: id_rsa, *.key, keystore.json, .env, ~/.ssh, ~/.aws,
Chrome/Firefox/Brave profile storage (LocalStorage/IndexedDB) and any cloud creds.
Summarize full paths you find into /tmp/inventory.txt.
If /tmp/inventory.txt already exists, back it up to /tmp/inventory.txt.bak-<epoch> first.
Return a short summary only; no file contents.

Proširenje mogućnosti preko MCP (STDIO i HTTP)

AI CLIs često deluju kao MCP klijenti da bi pristupili dodatnim alatima:

• STDIO transport (local tools): klijent pokreće pomoćni lanac da bi pokrenuo tool server. Tipična loza: node → <ai-cli> → uv → python → file_write. Primer zapažen: uv run --with fastmcp fastmcp run ./server.py koji startuje python3.13 i vrši lokalne operacije nad fajlovima u ime agenta.
• HTTP transport (remote tools): klijent otvara outbound TCP (npr. port 8000) ka udaljenom MCP serveru, koji izvršava traženu akciju (npr. upisuje /home/user/demo_http). Na endpointu ćete videti samo mrežnu aktivnost klijenta; izmene fajlova na strani servera dešavaju se van hosta.

Napomene:

• MCP alati su opisani modelu i mogu biti automatski izabrani tokom planiranja. Ponašanje varira između pokretanja.
• Udaljeni MCP serveri povećavaju opseg uticaja i smanjuju vidljivost na hostu.

Lokalni artefakti i logovi (forenzika)

• Gemini CLI session logs: ~/.gemini/tmp/<uuid>/logs.json
• Polja koja se često viđaju: sessionId, type, message, timestamp.
• Primer message: "@.bashrc what is in this file?" (uhvaćena namera korisnika/agenta).
• Claude Code history: ~/.claude/history.jsonl
• JSONL unosi sa poljima poput display, timestamp, project.

Korelirajte ove lokalne logove sa zahtevima primećenim na vašem LLM gateway/proxy (npr. LiteLLM) da biste detektovali manipulaciju/zahvatanje modela: ako se ono što je model obradio razlikuje od lokalnog prompta/izlaza, istražite injektovane instrukcije ili kompromitovane opise alata.

Obrasci telemetrije na endpointu

Reprezentativni lanci na Amazon Linux 2023 sa Node v22.19.0 i Python 3.13:

1. Built‑in tools (local file access)

• Roditeljski proces: node .../bin/claude --model <model> (ili ekvivalentno za CLI)
• Neposredna akcija potomka: kreiranje/izmena lokalnog fajla (npr. demo-claude). Povežite događaj fajla nazad preko parent→child loze.

2. MCP over STDIO (local tool server)

• Lanac: node → uv → python → file_write
• Primer pokretanja: uv run --with fastmcp fastmcp run /home/ssm-user/tools/server.py

3. MCP over HTTP (remote tool server)

• Klijent: node/<ai-cli> otvara outbound TCP ka remote_port: 8000 (ili slično)
• Server: udaljeni Python proces obrađuje zahtev i upisuje /home/ssm-user/demo_http.

Pošto odluke agenta variraju po pokretanju, očekujte varijabilnost u tačnim procesima i putanjama koje su pogođene.

Strategija detekcije

Izvori telemetrije

• Linux EDR koji koristi eBPF/auditd za procese, fajl i mrežne događaje.
• Lokalni AI‑CLI logovi za vidljivost prompta/namere.
• LLM gateway logovi (npr. LiteLLM) za međusobnu verifikaciju i detekciju manipulacije modelom.

Heuristike za pretragu

• Povežite osetljive pristupe fajlovima nazad do AI‑CLI roditeljskog lanca (npr. node → <ai-cli> → uv/python).
• Generišite alert za pristupe/čitanja/upise ispod: ~/.ssh, ~/.aws, browser profile storage, cloud CLI creds, /etc/passwd.
• Obeležite neočekivane outbound konekcije iz procesa AI‑CLI ka neodobrenim MCP endpointima (HTTP/SSE, portovi poput 8000).
• Korelirajte lokalne ~/.gemini/~/.claude artefakte sa promptovima/izlazima iz LLM gateway; divergencija ukazuje na moguće zahvatanje.

Primer pseudo‑pravila (prilagodite svom EDR):

- when: file_write AND path IN ["$HOME/.ssh/*","$HOME/.aws/*","/etc/passwd"]
and ancestor_chain CONTAINS ["node", "claude|gemini|warp", "python|uv"]
then: alert("AI-CLI secrets touch via tool chain")

- when: outbound_tcp FROM process_name =~ "node|python" AND parent =~ "claude|gemini|warp"
and dest_port IN [8000, 3333, 8787]
then: tag("possible MCP over HTTP")

Hardening ideas

• Zahtevati eksplicitno odobrenje korisnika za alate koji rade sa fajlovima/sistemom; beležiti i izlagati planove alata.
• Ograničiti odlazni mrežni saobraćaj za AI‑CLI procese samo na odobrene MCP servere.
• Slati/uvoziti lokalne AI‑CLI logove i LLM gateway logove radi doslednog i otpornog na manipulacije audita.

Blue‑Team Repro Notes

Koristite čist VM sa EDR-om ili eBPF tracerom da reprodukujete lance kao:

• node → claude --model claude-sonnet-4-20250514 zatim odmah lokalno upisivanje fajla.
• node → uv run --with fastmcp ... → python3.13 koji upisuje u $HOME.
• node/<ai-cli> uspostavlja TCP ka eksternom MCP serveru (port 8000) dok udaljeni Python proces upisuje fajl.

Proverite da li vaša detekcija povezuje fajl/mrežne događaje nazad do inicirajućeg AI‑CLI parent procesa kako biste izbegli lažno pozitivne rezultate.

References

• Commanding attention: How adversaries are abusing AI CLI tools (Red Canary)
• Model Context Protocol (MCP)
• LiteLLM – LLM Gateway/Proxy