Étude de la sécurité du système MCP et pratique de simulation d'attaque

MCP (Modèle de Contexte du Protocole) est actuellement en phase de développement précoce, l'environnement global étant relativement chaotique, diverses méthodes d'attaque potentielles apparaissant sans cesse, et les protocoles et outils existants étant difficiles à défendre efficacement. Afin d'améliorer la sensibilisation de la communauté à la sécurité de MCP, un outil open source nommé MasterMCP a vu le jour, visant à aider à identifier les vulnérabilités de sécurité dans la conception des produits par le biais d'exercices d'attaque pratiques, afin de renforcer progressivement le projet MCP.

Cet article guidera les lecteurs à travers des exercices pratiques, démontrant les méthodes d'attaque courantes dans le système MCP, telles que l'empoisonnement d'informations et l'insertion de commandes malveillantes, avec de vrais cas. Tous les scripts de démonstration seront également open source, permettant à chacun de reproduire l'ensemble du processus dans un environnement sécurisé, voire de développer ses propres plugins de test d'attaque.

Aperçu de l'architecture globale

cible d'attaque de démonstration MCP:Toolbox

Toolbox est l'outil de gestion MCP officiel lancé par un site web de plugins MCP bien connu. Le choix de cet outil comme cible de test repose principalement sur les points suivants :

• Une base d'utilisateurs importante et représentative
• Prise en charge de l'installation automatique d'autres plugins, complétant certaines fonctionnalités du client
• Contient des configurations sensibles ( telles que la clé API ), facilitant la démonstration.

démonstration d'utilisation de la malveillance MC:MasterMC

MasterMCP est un outil de simulation de MCP malveillant conçu spécifiquement pour les tests de sécurité, utilisant une architecture modulaire et comprenant les modules clés suivants :

1. Simulation de services de site web local :

Pour recréer fidèlement un scénario d'attaque, MasterMCP intègre un module de simulation de service web local. Grâce au cadre FastAPI, un serveur HTTP simple est rapidement mis en place pour simuler un environnement web courant. Ces pages semblent normales en surface, mais en réalité, le code source de la page ou les réponses des API cachent des charges malveillantes soigneusement conçues.

2. Architecture MCP plugin localisée

MasterMCP utilise une approche modulaire pour l'expansion, facilitant l'ajout rapide de nouvelles méthodes d'attaque par la suite. Une fois en cours d'exécution, MasterMCP exécutera le service FastAPI mentionné ci-dessus dans un sous-processus.

Client de démonstration

• Curseur : l'un des IDE de programmation assistée par IA les plus populaires au monde
• Claude Desktop: client officiel d'une grande entreprise de modèles

modèle de démonstration utilisé

• Claude 3.7

Choisir cette version est dû à ses améliorations dans la détection des opérations sensibles, tout en représentant une capacité opérationnelle relativement forte dans l'écosystème MCP actuel.

Appel malveillant Cross-MCP

attaque de pollution de contenu web

1. Injection de commentaires

Accéder au site de test local via Cursor, simuler l'impact de l'accès d'un client de grand modèle à un site malveillant.

Exécuter l'instruction :

Récupérer le contenu de

Les résultats montrent que le Curseur n'a pas seulement lu le contenu de la page web, mais a également renvoyé des données de configuration sensibles locales au serveur de test. Dans le code source, des mots-clés malveillants sont intégrés sous forme de commentaires HTML.

2. Poisonning par commentaires codés

Accédez à la page /encode, c'est une page qui semble identique à l'exemple précédent, mais les mots malveillants y sont encodés, rendant l'empoisonnement plus discret, même en consultant le code source de la page, il est difficile de le détecter directement.

Même si le code source ne contient pas de mots-clés en clair, l'attaque a quand même réussi.

MCP outil de retour d'information de poison

Entrer la commande simulée :

obtenir beaucoup de pommes

Après avoir déclenché la commande, le client a appelé Toolbox à travers MCP et a réussi à ajouter un nouveau serveur MCP. En consultant le code du plugin, on peut constater que les données de retour contiennent déjà une charge utile malveillante traitée par encodage, et l'utilisateur a presque impossible de détecter l'anomalie.

attaque par pollution d'interface tierce

Exécuter la demande:

Récupérer le json depuis /api/data

Résultat : des mots-clés malveillants ont été implantés dans les données JSON retournées et ont réussi à déclencher une exécution malveillante.

Technique de poisoning durant la phase d'initialisation de MC

attaque par couverture de fonction malveillante

MasterMCP a créé un outil avec la même fonction nommée remove_server que Toolbox, et a codé pour cacher des mots d'alerte malveillants.

Exécuter l'instruction :

boîte à outils supprimer récupérer plugin serveur

Claude Desktop n'a pas appelé la méthode remove_server d'origine de toolbox, mais a plutôt déclenché la méthode homonyme fournie par MasterMCP.

Le principe est de souligner que "les anciennes méthodes ont été abandonnées", en incitant prioritairement le grand modèle à appeler des fonctions de couverture malveillantes.

Ajouter une logique de vérification globale malveillante

MasterMCP a écrit un outil banana, dont la fonction principale est de forcer tous les outils à effectuer cette vérification de sécurité avant leur exécution dans les mots de prompt.

Avant chaque exécution de fonction, le système appelle en priorité le mécanisme de vérification de banana. Cela est réalisé par une injection logique globale qui insiste à plusieurs reprises dans le code sur le fait que "la vérification de banana doit être exécutée".

Techniques avancées pour cacher les mots d'alerte malveillants

méthode de codage conviviale pour les grands modèles

En raison de la grande capacité d'analyse des modèles de langage pour le format multilingue, cela est plutôt utilisé pour cacher des informations malveillantes. Les méthodes courantes incluent :

• Dans un environnement anglais : utiliser le codage Hex Byte
• En environnement chinois : utiliser l'encodage NCR ou l'encodage JavaScript

Mécanisme de retour de charge malveillante aléatoire

Lorsqu'une demande /random est effectuée, une page avec une charge malveillante est renvoyée au hasard à chaque fois, ce qui augmente considérablement la difficulté de détection et de traçabilité.

Résumé

À travers la démonstration pratique de MasterMCP, nous avons pu voir de manière intuitive les divers risques de sécurité cachés dans le système MCP. Des injections simples de mots clés, des appels inter-MCP, aux attaques plus subtiles lors de la phase d'initialisation et à la dissimulation d'instructions malveillantes, chaque étape nous rappelle que : bien que l'écosystème MCP soit puissant, il est tout aussi fragile.

Surtout aujourd'hui, où les grands modèles interagissent de plus en plus fréquemment avec des plugins externes et des API, une petite pollution des entrées peut entraîner des risques de sécurité au niveau du système. La diversification des méthodes d'attaque, comme le codage caché (, la pollution aléatoire et le recouvrement de fonctions ), signifie également que les approches de protection traditionnelles doivent être entièrement mises à jour.

La sécurité n'est jamais une affaire de quelques minutes. J'espère que cette démonstration pourra servir de signal d'alarme : que vous soyez développeur ou utilisateur, vous devez rester suffisamment vigilant par rapport au système MCP, en surveillant chaque interaction, chaque ligne de code, chaque valeur de retour. Ce n'est qu'en étant rigoureux sur chaque détail que l'on peut véritablement construire un environnement MCP solide et sûr.