Estudo de segurança do sistema MCP e prática de simulação de ataques

MCP (Model Context Protocol) O sistema atualmente está em uma fase inicial de desenvolvimento, o ambiente geral é bastante caótico, e várias formas potenciais de ataque estão surgindo. Os protocolos e ferramentas existentes são difíceis de defender efetivamente. Para aumentar a conscientização da comunidade sobre a segurança do MCP, uma ferramenta de código aberto chamada MasterMCP surgiu, com o objetivo de ajudar a identificar vulnerabilidades de segurança no design do produto através de simulações de ataques reais, fortalecendo gradualmente o projeto MCP.

Este artigo irá guiar os leitores em uma prática, demonstrando formas comuns de ataque sob o sistema MCP, como envenenamento de informações, instruções maliciosas ocultas e outros casos reais. Todos os scripts de demonstração também serão disponibilizados como código aberto, para que todos possam reproduzir todo o processo em um ambiente seguro, e até desenvolver seus próprios plugins de teste de ataque.

Visão Geral da Arquitetura

Demonstração do alvo de ataque MCP:Toolbox

Toolbox é a ferramenta oficial de gestão de MCP lançada por um conhecido site de plugins MCP. A escolha dela como objetivo de teste baseia-se principalmente nos seguintes pontos:

• A base de usuários é grande e representativa
• Suporta a instalação automática de outros plugins, complementando algumas funcionalidades do cliente.
• Inclui configurações sensíveis (, como a API Key ), para facilitar a demonstração.

Demonstração de uso de MCP malicioso: MasterMCP

MasterMCP é uma ferramenta de simulação de MCP malicioso desenvolvida especificamente para testes de segurança, com um design de arquitetura modular que inclui os seguintes módulos-chave:

1. Simulação de serviços de sites locais:

Para uma verdadeira simulação de cenários de ataque, o MasterMCP incorpora um módulo de simulação de serviço de site local. Usando o framework FastAPI, uma simples HTTP server é rapidamente montada para simular um ambiente de página web comum. Estas páginas parecem normais à superfície, mas na realidade escondem cargas maliciosas cuidadosamente projetadas no código-fonte da página ou nas respostas das interfaces.

2. Arquitetura MCP plugin local

O MasterMCP utiliza uma abordagem modular para expansão, facilitando a adição rápida de novas formas de ataque no futuro. Após a execução, o MasterMCP irá rodar o serviço FastAPI mencionado em um subprocesso.

Cliente de demonstração

• Cursor: Uma das IDEs de programação assistidas por IA mais populares atualmente no mundo
• Claude Desktop: cliente oficial de uma grande empresa de modelos

modelo grande usado para demonstração

• Claude 3.7

A escolha desta versão deve-se ao fato de que houve melhorias no reconhecimento de operações sensíveis, ao mesmo tempo que representa uma capacidade operacional mais forte no ecossistema atual do MCP.

Chamada maliciosa Cross-MCP

ataque de envenenamento de conteúdo da web

1. Injeção de comentários

Aceder ao site de teste local através do Cursor, simulando o impacto da visita de um cliente de grande modelo a um site malicioso.

Executar instrução:

Buscar o conteúdo de

Os resultados mostram que o Cursor não só leu o conteúdo da página, mas também retornou dados de configuração sensíveis locais para o servidor de testes. No código-fonte, as palavras-chave maliciosas foram inseridas na forma de comentários HTML.

2. Injeção de comentários codificados

Aceda à página /encode, que é uma página que parece idêntica ao exemplo anterior, mas cujos termos maliciosos foram codificados, tornando a injeção mais discreta, mesmo que seja difícil de detectar diretamente ao visualizar o código-fonte da página.

Mesmo que o código fonte não contenha palavras-chave em texto claro, o ataque ainda é executado com sucesso.

MCP ferramenta retorna informação de envenenamento

Introduzir comandos de simulação:

pegar muitas maçãs

Após a execução do comando, o cliente fez uma chamada cruzada ao MCP e ao Toolbox e conseguiu adicionar um novo servidor MCP. Ao verificar o código do plugin, pode-se perceber que os dados de retorno já incorporaram uma carga maliciosa processada por codificação, tornando quase impossível para o usuário detectar anomalias.

Ataque de poluição de interface de terceiros

Executar solicitação:

Buscar json de /api/data

Resultado: palavras-chave maliciosas foram inseridas nos dados JSON retornados e acionaram com sucesso a execução maliciosa.

Técnica de envenenamento na fase de inicialização do MCP

ataque de sobreposição de função maliciosa

O MasterMCP escreveu uma ferramenta chamada remove_server com a mesma função que a Toolbox e codificou palavras-chave maliciosas.

Executar comando:

ferramenta remover buscar plugin servidor

Claude Desktop não chamou o método remove_server da toolbox original, mas sim acionou o método homônimo fornecido pelo MasterMCP.

O princípio é enfatizar que "o método original foi abandonado", priorizando a indução do modelo grande a chamar funções de sobreposição maliciosas.

Adicionar lógica de verificação global maliciosa

O MasterMCP escreveu uma ferramenta banana, cuja função principal é forçar a execução dessa ferramenta para uma verificação de segurança antes de todos os outros ferramentas serem executadas nos prompts.

Antes de cada execução da função, o sistema chama prioritariamente o mecanismo de verificação do banana. Isso é realizado através da injeção de lógica global, enfatizando repetidamente no código que "a detecção do banana deve ser executada".

Dicas avançadas para ocultar palavras-chave maliciosas

forma de codificação amigável para grandes modelos

Devido à forte capacidade de análise de formatos multilíngues dos grandes modelos de linguagem, isso é frequentemente explorado para ocultar informações maliciosas, sendo os métodos comuns incluídos:

• Em ambiente inglês: usar codificação Hex Byte
• Em ambiente chinês: usar codificação NCR ou codificação JavaScript

mecanismo de retorno de carga maliciosa aleatória

Quando o pedido é /random, ele retorna aleatoriamente uma página com carga maliciosa a cada vez, aumentando significativamente a dificuldade de detecção e rastreamento.

Resumo

Através da demonstração prática do MasterMCP, vimos de forma intuitiva os vários riscos de segurança ocultos no sistema MCP. Desde a simples injeção de palavras-chave, chamadas cruzadas de MCP, até ataques na fase de inicialização mais ocultos e a ocultação de instruções maliciosas, cada etapa nos lembra: embora o ecossistema MCP seja poderoso, também é vulnerável.

Especialmente hoje, em que os grandes modelos interagem cada vez mais frequentemente com plugins externos e APIs, uma pequena contaminação de entrada pode desencadear riscos de segurança em nível de sistema. Além disso, a diversificação das táticas dos atacantes, como ( codificação oculta, contaminação aleatória e ) sobreposição de funções, significa que as abordagens tradicionais de proteção precisam ser totalmente atualizadas.

A segurança nunca é algo que se alcança de uma só vez. Espero que esta demonstração possa servir como um alerta para todos: tanto desenvolvedores quanto usuários devem manter uma vigilância adequada sobre o sistema MCP, prestando atenção a cada interação, cada linha de código e cada valor de retorno. Apenas tratando cada detalhe com rigor, é que podemos realmente construir um ambiente MCP robusto e seguro.