6月25日消息，AI代理为IT工单服务带来了巨大潜力，同时也引入了新的风险。

美国云安全公司Cato Networks的研究人员披露，知名研发软件厂商Atlassian推出的新型AI代理协议，可能被攻击者通过提示注入在Jira Service Management（JSM）中提交恶意支持工单。

研究人员将这一概念验证（PoC）攻击命名为“以AI为生”（Living off AI）攻击，并在最新发布的报告中详细阐述了该PoC攻击的技术概览。

2025年5月，Atlassian推出MCP服务器，将AI深度整合进企业工作流。

MCP（模型上下文协议）是一项开放标准，由美国知名大模型公司Anthropic（Claude出品方）于2024年11月首次发布。MCP服务器用于管理并利用大模型运行过程中的上下文信息。

MCP的架构由本地运行的MCP主机和多个MCP服务器组成。充当代理的主机可以是AI驱动的应用程序（如Claude桌面版）、设备上的大模型（如Claude Sonnet），或集成开发环境（如Visual Studio）。

Atlassian MCP服务支持多项AI驱动的功能，包括在JSM与Confluence中生成工单摘要、自动回复、分类及智能推荐等。

它还允许支持工程师和内部用户通过原生界面直接与AI交互。

研究人员利用Atlassian的MCP资产对Atlassian JSM发起PoC攻击，演示匿名外部用户如何通过JSM执行一系列恶意操作，包括：

• 通过提交工单触发Atlassian MCP交互，随后由使用Claude Sonnet等MCP工具的支持工程师处理，从而自动激活恶意流程；

• 引导支持工程师在毫不知情的情况下，借助Atlassian MCP执行注入指令；

• 访问JSM中原本对外部威胁者隐藏的内部租户数据；

• 通过将提取的数据写回工单本身，实现对与支持工程师关联租户的数据窃取。

典型攻击链如下：

1. 外部用户提交经过精心构造的支持工单；

2. 与租户关联的内部代理或自动化工具调用连接至MCP的AI操作；

3. 工单中的提示注入有效载荷在内部权限下被执行；

4. 数据被提取至威胁者的工单，或在内部系统中遭到篡改；

5. 若缺乏沙箱或验证机制，威胁者即可借内部用户之手获得全面访问权限。

研究人员指出：“值得注意的是，在本次PoC演示中，威胁者从未直接访问Atlassian MCP。真正执行恶意指令的是毫不知情的支持工程师，他们被充当成了代理。”

图：通过Jira Service Management进行的提示注入

尽管本次攻击演示以Atlassian为例，Cato研究人员认为，任何在处理不受信输入时缺乏提示隔离或上下文控制的AI环境均面临同样风险。

他们补充道：“我们展示的风险并非某一家厂商独有，而是一种通用模式。一旦外部输入流在MCP中得不到控制，威胁者就能滥用此路径，在无需身份验证的情况下获得特权访问。”

“许多企业或已采用类似架构，将MCP服务器联通外部系统与内部AI逻辑，以提升工作流效率和自动化水平。此类设计模式带来全新的风险，必须严肃对待。”

研究人员建议，如要预防或缓解此类攻击，应制定规则，阻止或告警所有远程MCP工具调用（如创建、新增或编辑操作）。

此举可帮助用户：

• 在AI驱动操作中贯彻最小权限原则；

• 实时监测可疑提示的使用；

• 保持全网MCP活动的审计日志。

在该报告发布前几天，协同办公平台Asana宣布其MCP服务器存在漏洞，致使客户数据被暴露给其他组织。