Исследование безопасности системы MCP и практика имитации атак

MCP (Model Context Protocol) система в настоящее время находится на ранней стадии развития, общая среда довольно хаотична, различные потенциальные способы атак появляются один за другим, существующие протоколы и инструменты трудны для эффективной защиты. Чтобы повысить осведомленность сообщества о безопасности MCP, появился инструмент с открытым исходным кодом под названием MasterMCP, который призван помочь выявить уязвимости в дизайне продукта через практические тренировки по атакам, тем самым постепенно укрепляя проект MCP.

В данной статье читатели смогут на практике ознакомиться с распространёнными способами атак в системе MCP, такими как информационное отравление, скрытые вредоносные команды и другие реальные примеры. Все демонстрационные скрипты также будут открыты, чтобы все могли воспроизвести весь процесс в безопасной среде, а также разработать свои собственные плагины для тестирования атак.

Обзор общей архитектуры

Демонстрационная атака на цель MC:Toolbox

Toolbox является официальным инструментом управления MCP, выпущенным известным сайтом плагинов MCP. Выбор его в качестве цели тестирования основан на следующих причинах:

• Большая пользовательская база, репрезентативная
• Поддержка автоматической установки других плагинов для дополнения некоторых функций клиента
• Содержит конфиденциальные настройки (, такие как API Key ), что облегчает демонстрацию

демонстрационное использование злонамеренного MC:MasterMC

MasterMCP — это инструмент для моделирования злонамеренных MCP, специально разработанный для тестирования безопасности, использующий модульную архитектуру и включающий следующие ключевые модули:

1. Симуляция локальных веб-сервисов:

Для реального воспроизведения сценария атаки MasterMCP встроил модуль имитации локального веб-сервиса. С помощью фреймворка FastAPI быстро создается простой HTTP-сервер, имитирующий обычную веб-среду. Эти страницы на первый взгляд выглядят нормально, но на самом деле в исходном коде страниц или в ответах интерфейса скрыты тщательно разработанные вредоносные нагрузки.

2. Локальная плагинизированная архитектура MC

MasterMCP использует модульную архитектуру для расширения, что облегчает последующее быстрое добавление новых методов атаки. После запуска MasterMCP будет запускать указанный сервис FastAPI в дочернем процессе.

демонстрационный клиент

• Cursor: Один из самых популярных в мире IDE для программирования с поддержкой ИИ
• Claude Desktop: официальный клиент одной крупной модели

демонстрационная версия большого модели

• Клод 3.7

Выбор этой версии обусловлен тем, что она уже улучшила распознавание чувствительных операций, а также представляет собой сильные операционные возможности в текущей экосистеме MCP.

Cross-MCP злонамеренный вызов

атака на веб-контент с использованием отравления

1. Комментарийный вредоносный код

Посетите локальный тестовый сайт через Cursor, чтобы смоделировать влияние доступа клиента к большому модели к вредоносному сайту.

Выполнить команду:

Получите содержимое

Результаты показывают, что Cursor не только считывает содержимое веб-страницы, но и передает локальные конфиденциальные данные на тестовый сервер. В исходном коде вредоносные подсказки внедрены в виде HTML-комментариев.

2. Кодировочные аннотации для отравления

Перейдите на страницу /encode, это веб-страница, которая на первый взгляд похожа на предыдущий пример, но в ней вредоносные подсказки закодированы, что делает внедрение более скрытным, и даже при просмотре исходного кода веб-страницы трудно заметить это напрямую.

Даже если исходный код не содержит явных подсказок, атака все равно успешно выполняется.

MCP工具 возвращает информацию о подделке

Введите команду для имитации:

получить много яблок

После активации команды клиент вызвал Toolbox через MCP и успешно добавил новый сервер MCP. Просмотрев код плагина, можно обнаружить, что в возвращаемых данных уже встроен закодированный вредоносный код, который пользователь почти не может заметить.

Атака на интерфейс сторонних приложений

Выполнить запрос:

Получить json с /api/data

Результат: злонамеренные подсказки были внедрены в возвращенные данные JSON и успешно вызвали злонамеренное выполнение.

Технология отравления на этапе инициализации MCP

атака на перекрытие вредоносных функций

MasterMCP написал инструмент с тем же именем функции remove_server, что и Toolbox, и закодировал скрытые вредоносные подсказки.

Выполнить команду:

инструмент удалить плагин выборки сервер

Claude Desktop не вызвал оригинальный метод toolbox remove_server, а вместо этого вызвал одноименный метод, предоставленный MasterMCP.

Принцип заключается в том, чтобы подчеркивать, что "старые методы устарели", и приоритизировать вызов функций с вредоносным перезаписью большими моделями.

Добавить логику вредоносной глобальной проверки

MasterMCP создал инструмент banana, основное назначение которого заключается в том, чтобы перед запуском всех инструментов в подсказке обязательно выполнять эту проверку безопасности.

Перед каждым выполнением функции система сначала вызывает механизм проверки banana. Это достигается путем неоднократного подчеркивания в коде "должен выполняться контроль banana", что является глобальной логической инъекцией.

Продвинутые приемы скрытия злонамеренных подсказок

Дружественный к большим моделям способ кодирования

Из-за того, что большие языковые модели обладают высокой способностью к анализу многоязычных форматов, это, наоборот, используется для сокрытия вредоносной информации. Обычные методы включают:

• В английской среде: используйте кодировку Hex Byte
• В китайской среде: используйте кодировку NCR или кодировку JavaScript

Механизм возврата случайного вредоносного полезного груза

При запросе /random каждый раз будет случайным образом возвращаться страница с вредоносной нагрузкой, что значительно усложняет обнаружение и отслеживание.

Итог

С помощью практической демонстрации MasterMCP мы наглядно увидели различные скрытые угрозы безопасности в системе MCP. От простых атак с внедрением подсказок и меж-MCP вызовов до более скрытых атак на этапе инициализации и скрытых вредоносных команд, каждый этап напоминает нам: экосистема MCP, хотя и мощная, но также уязвима.

Особенно в то время, когда большие модели все чаще взаимодействуют с внешними плагинами и API, небольшое загрязнение ввода может привести к системным рискам безопасности. А разнообразие методов атак, таких как кодирование (, случайное загрязнение, перекрытие функций ), также означает, что традиционные подходы к защите требуют全面升级.

Безопасность никогда не достигается сразу. Надеюсь, что это демонстрация сможет стать для всех сигналом тревоги: как разработчики, так и пользователи должны оставаться достаточно бдительными по отношению к системе MCP, постоянно обращая внимание на каждое взаимодействие, каждую строку кода, каждое возвращаемое значение. Только уделяя внимание каждой детали, можно действительно создать прочную и безопасную среду MCP.