Estudio de seguridad del sistema MCP y práctica de simulación de ataques

MCP (Modelo de Contexto del Protocolo) el sistema se encuentra actualmente en una etapa temprana de desarrollo, el entorno general es bastante caótico, y diversas formas de ataque potencial surgen constantemente, lo que dificulta la defensa efectiva de los protocolos y herramientas existentes. Para mejorar la conciencia de la comunidad sobre la seguridad de MCP, una herramienta de código abierto llamada MasterMCP ha surgido, con el objetivo de ayudar a identificar vulnerabilidades de seguridad en el diseño del producto a través de simulacros de ataque reales, y así fortalecer gradualmente el proyecto MCP.

Este artículo guiará a los lectores a realizar prácticas, mostrando formas comunes de ataque bajo el sistema MCP, como la contaminación de información y la ocultación de comandos maliciosos, entre otros casos reales. Todos los scripts de demostración también serán de código abierto, para que todos puedan reproducir todo el proceso en un entorno seguro, e incluso desarrollar sus propios complementos de prueba de ataque.

Visión general de la arquitectura

Demostración del objetivo de ataque MCP:Toolbox

Toolbox es la herramienta oficial de gestión de MCP lanzada por un conocido sitio web de plugins de MCP. La elección de esta como objetivo de prueba se basa principalmente en los siguientes puntos:

• La base de usuarios es grande y representativa
• Soporta la instalación automática de otros complementos, complementando algunas funciones del cliente.
• Incluye configuraciones sensibles ( como la API Key ), facilitando la demostración.

demostración de uso de MCP malicioso: MasterMCP

MasterMCP es una herramienta simulada de MCP malicioso diseñada específicamente para pruebas de seguridad, que adopta un diseño de arquitectura basada en plugins, e incluye los siguientes módulos clave:

1. Simulación de servicios de sitios web locales:

Para simular escenarios de ataque de manera realista, MasterMCP incorpora un módulo de simulación de servicio web local. A través del marco FastAPI, se puede construir rápidamente un servidor HTTP básico que simula un entorno web común. Estas páginas parecen normales a simple vista, pero en el código fuente de las páginas o en las respuestas de las interfaces se ocultan cargas maliciosas diseñadas cuidadosamente.

2. Arquitectura MCP de plugins locales

MasterMCP utiliza un enfoque modular para la expansión, facilitando la adición rápida de nuevos métodos de ataque en el futuro. Una vez en funcionamiento, MasterMCP ejecutará el servicio FastAPI mencionado anteriormente en un subproceso.

cliente de demostración

• Cursor: uno de los IDE de programación asistida por IA más populares a nivel mundial.
• Claude Desktop: cliente oficial de una gran empresa de modelos

modelo grande utilizado en la demostración

• Claude 3.7

Elegir esta versión se debe a que ha habido mejoras en la identificación de operaciones sensibles, y al mismo tiempo representa una capacidad operativa bastante sólida en el ecosistema actual de MC.

Llamadas maliciosas de Cross-MCP

ataque de envenenamiento de contenido web

1. Inyección de comentarios

Acceder al sitio web de prueba local a través de Cursor, simulando el impacto que tendría el acceso de un cliente de modelo grande a un sitio web malicioso.

Ejecutar comando:

Obtener el contenido de

Los resultados muestran que Cursor no solo lee el contenido de la página web, sino que también devuelve datos de configuración sensibles locales al servidor de pruebas. En el código fuente, las palabras clave maliciosas están incrustadas en forma de comentarios HTML.

2. Inyección de comentarios de tipo codificado

Acceder a la página /encode, que es una página web que parece similar a la anterior, pero en la que las palabras clave maliciosas están codificadas, lo que hace que el envenenamiento sea más encubierto, incluso al revisar el código fuente de la página web es difícil detectarlo directamente.

Incluso si el código fuente no contiene palabras clave en texto claro, el ataque aún se ejecuta con éxito.

MCP herramienta retorno información envenenamiento

Introduzca el comando simulado:

obtener muchas manzanas

Después de activar el comando, el cliente invocó Toolbox a través de MCP y agregó con éxito un nuevo servidor MCP. Al revisar el código del complemento, se puede observar que los datos devueltos ya incluyen una carga maliciosa codificada, que el usuario apenas puede detectar como anómala.

ataque de contaminación de interfaces de terceros

Ejecutar solicitud:

Obtener json de /api/data

Resultado: se insertaron palabras clave maliciosas en los datos JSON devueltos y se activó con éxito la ejecución maliciosa.

Técnica de envenenamiento en la fase de inicialización de MCP

ataque de sobrescritura de funciones maliciosas

MasterMCP escribió una herramienta con el mismo nombre de función remove_server que Toolbox, y codificó ocultamente palabras clave maliciosas.

Ejecutar instrucciones:

herramienta eliminar obtener complemento servidor

Claude Desktop no llamó al método remove_server original de toolbox, sino que activó el método homónimo proporcionado por MasterMCP.

El principio es enfatizar que "los métodos anteriores han sido desechados", priorizando inducir al gran modelo a llamar a funciones de sobrescritura maliciosas.

Añadir lógica de verificación global maliciosa

MasterMCP escribió una herramienta llamada banana, cuya función principal es obligar a que todas las herramientas se ejecuten después de realizar una verificación de seguridad con esta herramienta en los mensajes.

Antes de ejecutar la función, el sistema siempre prioriza la llamada al mecanismo de verificación de banana. Esto se logra mediante la inyección lógica global que enfatiza repetidamente en el código "debe ejecutarse la verificación de banana".

Técnicas avanzadas para ocultar palabras clave maliciosas

una forma de codificación amigable para grandes modelos

Debido a que los modelos de lenguaje grandes tienen una gran capacidad de análisis de formatos multilingües, esto se utiliza para ocultar información maliciosa, los métodos comunes incluyen:

• En un entorno en inglés: usar codificación Hex Byte
• En un entorno en chino: usar codificación NCR o codificación JavaScript

mecanismo de retorno de carga maliciosa aleatoria

Cuando se solicita /random, siempre se devuelve aleatoriamente una página con carga maliciosa, lo que aumenta significativamente la dificultad de detección y rastreo.

Resumen

A través de la demostración práctica de MasterMCP, hemos visto de manera intuitiva los diversos riesgos de seguridad ocultos en el sistema MCP. Desde la inyección de palabras clave simples, las llamadas cruzadas de MCP, hasta ataques más encubiertos en la fase de inicialización y la ocultación de instrucciones maliciosas, cada etapa nos recuerda: aunque el ecosistema MCP es poderoso, también es vulnerable.

Especialmente hoy en día, cuando los grandes modelos interactúan cada vez más con complementos externos y API, una pequeña contaminación de la entrada puede provocar riesgos de seguridad a nivel del sistema. Y la diversificación de las tácticas de los atacantes, como la codificación oculta (, la contaminación aleatoria y la sobrescritura de funciones ), también significa que las estrategias de protección tradicionales necesitan una actualización completa.

La seguridad nunca se logra de la noche a la mañana. Espero que esta demostración sirva como una llamada de atención: tanto desarrolladores como usuarios deben mantener suficiente vigilancia sobre el sistema MCP, prestando atención a cada interacción, cada línea de código y cada valor de retorno. Solo tratando cada detalle con rigor se puede construir verdaderamente un entorno MCP sólido y seguro.