Nghiên cứu về an toàn của hệ thống MCP và thực hành mô phỏng tấn công

MCP (Mô hình Bối cảnh Giao thức) Hệ thống hiện đang ở giai đoạn phát triển sớm, môi trường tổng thể khá hỗn loạn, nhiều phương thức tấn công tiềm ẩn xuất hiện liên tục, các giao thức và công cụ hiện có thiết kế khó có thể bảo vệ hiệu quả. Để nâng cao nhận thức của cộng đồng về độ an toàn của MCP, một công cụ mã nguồn mở có tên MasterMCP đã ra đời, nhằm mục đích thông qua các bài tập tấn công thực tế giúp phát hiện các điểm yếu an toàn trong thiết kế sản phẩm, từ đó dần dần củng cố dự án MCP.

Bài viết này sẽ hướng dẫn độc giả thực hành, trình bày các phương thức tấn công phổ biến trong hệ thống MCP, như tấn công tiêm thông tin, ẩn chứa lệnh độc hại và các trường hợp thực tế khác. Tất cả các kịch bản trình diễn cũng sẽ được mã nguồn mở, để mọi người có thể tái hiện toàn bộ quy trình trong môi trường an toàn, thậm chí phát triển plugin kiểm tra tấn công riêng của mình.

Tổng quan về kiến trúc tổng thể

Mục tiêu tấn công demo MCP: Toolbox

Toolbox là công cụ quản lý MCP chính thức do một trang web plugin MCP nổi tiếng phát hành. Việc chọn nó làm mục tiêu thử nghiệm chủ yếu dựa trên các điểm sau:

• Cơ sở người dùng lớn, có tính đại diện
• Hỗ trợ cài đặt tự động các plugin khác, bổ sung một số chức năng của khách hàng
• Bao gồm cấu hình nhạy cảm ( như API Key ), thuận tiện cho việc trình diễn

Mẫu sử dụng MCP độc hại: MasterMCP

MasterMCP là công cụ mô phỏng MCP độc hại được thiết kế đặc biệt cho kiểm tra an toàn, sử dụng kiến trúc phân tách plugin, bao gồm các mô-đun chính sau:

1. Mô phỏng dịch vụ trang web địa phương:

Để tái hiện chân thực các tình huống tấn công, MasterMCP tích hợp mô-đun mô phỏng dịch vụ web cục bộ. Thông qua khung FastAPI, nhanh chóng thiết lập máy chủ HTTP đơn giản, mô phỏng môi trường trang web phổ biến. Những trang này bề ngoài có vẻ bình thường, nhưng thực tế trong mã nguồn trang hoặc phản hồi từ API ẩn chứa các tải trọng độc hại được thiết kế tinh vi.

2. Kiến trúc MCP phân vùng cục bộ

MasterMCP sử dụng phương pháp mở rộng theo kiểu plugin, thuận tiện cho việc thêm nhanh chóng các phương thức tấn công mới sau này. Sau khi chạy, MasterMCP sẽ chạy dịch vụ FastAPI trên một tiến trình con.

Ứng dụng demo

• Cursor: Một trong những IDE lập trình hỗ trợ AI phổ biến hiện nay trên toàn cầu
• Claude Desktop: Ứng dụng chính thức của một công ty mô hình lớn

mô hình lớn được sử dụng để trình diễn

• Claude 3.7

Việc chọn phiên bản này là do nó đã có cải tiến trong việc nhận diện các thao tác nhạy cảm, đồng thời đại diện cho khả năng thao tác mạnh mẽ trong hệ sinh thái MCP hiện tại.

Gọi xấu Cross-MCP

tấn công tiêm nhiễm nội dung trang web

1. Tiêm thuốc kiểu chú thích

Truy cập trang web thử nghiệm cục bộ thông qua Cursor, mô phỏng ảnh hưởng của việc khách hàng của mô hình lớn truy cập các trang web độc hại.

Thực hiện lệnh:

Lấy nội dung của

Kết quả cho thấy, Cursor không chỉ đọc nội dung trang web mà còn truyền lại dữ liệu cấu hình nhạy cảm cục bộ tới máy chủ thử nghiệm. Trong mã nguồn, các từ khóa độc hại được nhúng dưới dạng chú thích HTML.

2. Tấn công tiêm nhiễm chú thích kiểu mã hóa

Truy cập trang /encode, đây là một trang web có vẻ giống như ví dụ trước, nhưng các từ khóa độc hại đã được mã hóa, khiến việc tiêm độc trở nên kín đáo hơn, ngay cả khi xem mã nguồn của trang web cũng khó phát hiện trực tiếp.

Ngay cả khi mã nguồn không chứa từ gợi ý rõ ràng, cuộc tấn công vẫn thực hiện thành công.

Thông tin trả về công cụ MCP bị tiêm độc

Nhập lệnh mô phỏng:

có rất nhiều táo

Sau khi kích hoạt lệnh, khách hàng đã gọi Toolbox qua MCP và thành công thêm máy chủ MCP mới. Kiểm tra mã plugin có thể thấy, dữ liệu trả về đã nhúng tải độc hại đã được mã hóa, người dùng gần như không thể phát hiện bất thường.

Tấn công ô nhiễm giao diện bên thứ ba

Thực hiện yêu cầu:

Lấy json từ /api/data

Kết quả: Các từ gợi ý độc hại đã được chèn vào dữ liệu JSON trả về và kích hoạt thực thi độc hại một cách suôn sẻ.

Kỹ thuật tiêm độc trong giai đoạn khởi tạo MCP

tấn công ghi đè hàm ác ý

MasterMCP đã viết một công cụ có cùng tên hàm remove_server với Toolbox, và mã hóa ẩn các từ gợi ý độc hại.

Thực hiện lệnh:

công cụ hộp công cụ xóa plugin máy chủ

Claude Desktop chưa gọi phương thức remove_server của toolbox, mà đã kích hoạt phương thức cùng tên do MasterMCP cung cấp.

Nguyên lý là thông qua việc nhấn mạnh "phương pháp cũ đã bị loại bỏ", ưu tiên dẫn dắt mô hình lớn gọi các hàm bị che khuất ác ý.

Thêm logic kiểm tra toàn cầu độc hại

MasterMCP đã viết một công cụ banana, có tác dụng chính là bắt buộc tất cả các công cụ phải thực hiện công cụ này để kiểm tra an toàn trước khi chạy theo từ gợi ý.

Trước mỗi lần thực thi hàm, hệ thống sẽ ưu tiên gọi cơ chế kiểm tra banana. Điều này được thực hiện thông qua việc nhấn mạnh "phải chạy kiểm tra banana" trong mã code.

Kỹ thuật nâng cao để ẩn đi các từ gợi ý độc hại

Cách mã hóa thân thiện với mô hình lớn

Do khả năng phân tích định dạng đa ngôn ngữ mạnh mẽ của các mô hình ngôn ngữ lớn, điều này lại bị lợi dụng để ẩn giấu thông tin độc hại, các phương pháp thường được sử dụng bao gồm:

• Trong môi trường tiếng Anh: sử dụng mã Hex Byte
• Môi trường tiếng Trung: sử dụng mã NCR hoặc mã JavaScript

cơ chế trả lại tải độc hại ngẫu nhiên

Khi yêu cầu /random, mỗi lần sẽ ngẫu nhiên trả về một trang có tải trọng độc hại, làm tăng đáng kể độ khó trong việc phát hiện và truy vết.

Tóm tắt

Thông qua buổi trình diễn thực chiến của MasterMCP, chúng ta đã trực quan nhìn thấy nhiều nguy cơ tiềm ẩn trong hệ thống MCP. Từ việc tiêm từ khóa đơn giản, gọi chéo MCP, đến các cuộc tấn công trong giai đoạn khởi tạo ẩn giấu và việc ẩn giấu các lệnh độc hại, mỗi khâu đều nhắc nhở chúng ta: mặc dù hệ sinh thái MCP rất mạnh mẽ, nhưng cũng rất dễ bị tổn thương.

Đặc biệt trong thời đại mà các mô hình lớn ngày càng thường xuyên tương tác với các plugin và API bên ngoài, một chút ô nhiễm đầu vào có thể gây ra rủi ro an ninh cấp hệ thống. Sự đa dạng trong các phương thức tấn công như mã hóa (, ô nhiễm ngẫu nhiên, và ghi đè hàm ) cũng có nghĩa là, tư duy phòng thủ truyền thống cần phải được nâng cấp toàn diện.

An toàn chưa bao giờ là việc có thể đạt được trong một sớm một chiều. Hy vọng buổi trình diễn lần này sẽ gióng lên hồi chuông cảnh tỉnh cho mọi người: dù là nhà phát triển hay người sử dụng, đều cần giữ sự cảnh giác đủ với hệ thống MCP, luôn chú ý đến từng tương tác, từng dòng mã, từng giá trị trả về. Chỉ khi nghiêm túc đối đãi với từng chi tiết, chúng ta mới có thể xây dựng được một môi trường MCP vững chắc và an toàn.