MCP (Model Context Protocol) النظام حاليًا في مرحلة التطوير المبكرة، والبيئة العامة غامضة إلى حد ما، وطرق الهجوم المحتملة تظهر باستمرار، وتصميم البروتوكولات والأدوات الحالية يصعب الدفاع عنها بشكل فعال. من أجل تعزيز أمان MCP، قامت إحدى شركات الأمان بفتح مصدر أداة MasterMCP، من خلال تدريبات الهجوم العملية لمساعدة في اكتشاف الثغرات الأمنية في تصميم المنتج، وبالتالي تعزيز مشروع MCP.
ستعرض هذه المقالة أساليب الهجوم الشائعة ضمن نظام MCP، مثل تسميم المعلومات، وإخفاء التعليمات الخبيثة، وغيرها من الحالات الحقيقية. سيتم أيضًا مفتاح جميع النصوص البرمجية المستخدمة في العرض، ويمكن إعادة إنتاج العملية بالكامل في بيئة آمنة، وحتى تطوير ملحقات اختبار هجوم خاصة بناءً على هذه النصوص.
نظرة عامة على الهيكل العام
عرض الهدف الهجومي MCP:Toolbox
أداة إدارة MCP الرسمية التي أطلقتها أحد المواقع المعروفة بإضافات MCP. تم اختيار Toolbox كهدف للاختبار بناءً على: قاعدة مستخدمين كبيرة، تمثيلية؛ دعم التثبيت التلقائي لإضافات أخرى؛ تحتوي على إعدادات حساسة، مما يسهل العرض.
عرض الاستخدام الضار MC:MasterMC
MasterMCP هو أداة لمحاكاة MCP ضارة مصممة لاختبار الأمان، تستخدم تصميم معماري قائم على المكونات، وتحتوي على الوحدات الرئيسية التالية:
خدمة مواقع الويب المحلية المحاكاة:
إنشاء خادم HTTP بسيط باستخدام إطار FastAPI لمحاكاة بيئة الويب الشائعة. تبدو هذه الصفحات طبيعية على السطح، لكن في الواقع تحتوي على حمولات خبيثة مصممة بعناية في الشيفرة المصدرية أو في الردود على الواجهات.
بنية MCP المكونة محليًا
يستخدم MasterMCP طريقة المكونات الإضافية للتوسع، مما يسهل إضافة طرق الهجوم الجديدة بسرعة. بعد التشغيل، سيقوم بتشغيل خدمة FastAPI في عملية فرعية.
عميل العرض
Cursor: واحد من IDEs البرمجة المدعومة بالذكاء الاصطناعي الشائعة عالميًا حاليًا
Claude Desktop: عميل Anthropic الرسمي
نموذج كبير للاستخدام في العرض
كلود 3.7
تم اختيار هذا الإصدار لأنه قد تم تحسينه في التعرف على العمليات الحساسة، وهو يمثل القدرة التشغيلية القوية الحالية في نظام MCP البيئي.
استدعاء خبيث عبر MCP
هجوم تسميم محتوى الويب
نوع التسمم التعليقي
زر المؤشر للوصول إلى موقع اختبار محلي، هذه صفحة "عالم الكعك اللذيذ" التي تبدو غير ضارة.
تنفيذ الأمر:
استرجع محتوى
أظهرت النتائج أن Cursor لم يقرأ محتوى الصفحة فحسب، بل أعاد أيضًا بيانات التكوين الحساسة المحلية إلى خادم الاختبار. في الشيفرة المصدرية، تم زرع الكلمات الرئيسية الضارة على شكل تعليقات HTML.
تسميم التعليقات من نوع الترميز
زيارة صفحة /encode، تبدو مشابهة للمثال السابق، ولكن تم تشفير الكلمات التحذيرية الضارة، مما يجعلها أكثر خفاء.
حتى لو كان الكود المصدري لا يحتوي على كلمات مفتاحية نصية، فإن الهجوم لا يزال ينفذ بنجاح.
معلومات أداة MC للإرجاع
أدخل الأمر المحاكي: احصل على الكثير من التفاح
بعد تنفيذ الأمر، قام العميل باستدعاء Toolbox عبر MCP ونجح في إضافة خادم MCP جديد.
هجوم تلوث واجهة الطرف الثالث
تنفيذ الطلب:
استرجاع json من /api/data
النتيجة: تم إدخال كلمات تحذيرية خبيثة في بيانات JSON المسترجعة وتم تفعيل التنفيذ الخبيث بنجاح.
تقنية التسميم في مرحلة تهيئة MCP
هجوم تغطية الدالة الخبيثة
كتب MasterMCP دالة remove_server بنفس اسم Toolbox، وقام بترميز كلمات التحذير الخبيثة.
تنفيذ الأمر:
إزالة أداة الخادم الإضافي
لم يستدعِ Claude Desktop الطريقة الأصلية remove_server من toolbox، بل قام بتفعيل الطريقة التي تحمل نفس الاسم المقدمة من MasterMCP.
المبدأ هو التأكيد على "طُرق السابقة تم إلغاؤها"، مع تحفيز النموذج الكبير لاستدعاء الدوال المتهورة.
إضافة منطق فحص عالمي خبيث
قام MasterMCP بكتابة أداة banana، التي تجبر جميع الأدوات على تنفيذ هذه الأداة لإجراء الفحص الأمني قبل التشغيل.
قبل كل تنفيذ للدالة، يقوم النظام أولاً باستدعاء آلية فحص الموز. يتم تحقيق ذلك من خلال التأكيد المتكرر في الكود على "يجب تشغيل فحص الموز" كحقن منطقي عالمي.
تقنيات متقدمة لإخفاء الكلمات الدلالية الضارة
طريقة ترميز صديقة للنماذج الكبيرة
بيئة إنجليزية: استخدام ترميز Hex Byte
البيئة الصينية: استخدام ترميز NCR أو ترميز JavaScript
آلية إرجاع الحمولة الخبيثة العشوائية
عند الطلب /random، يتم إعادة صفحة تحمل حمولة ضارة بشكل عشوائي في كل مرة، مما يزيد بشكل كبير من صعوبة الكشف والتتبع.
ملخص
من خلال العرض التوضيحي العملي لـ MasterMCP، رأينا بشكل مباشر المخاطر الأمنية المختلفة المخفية في نظام MCP. من حقن الكلمات الرئيسية البسيطة، واستدعاءات MCP المتعددة، إلى الهجمات في مرحلة التهيئة الأكثر خفاءً وإخفاء التعليمات الضارة، كل مرحلة تذكرنا بأن نظام MCP، رغم قوته، إلا أنه هش أيضًا.
نأمل أن يكون هذا العرض قد نبه الجميع: سواء كان المطورون أو المستخدمون، يجب أن يبقوا يقظين بما يكفي تجاه نظام MCP، ويجب أن يراقبوا كل تفاعل، وكل سطر من الشيفرة، وكل قيمة راجعة. فقط من خلال التعامل بدقة مع كل التفاصيل يمكن بناء بيئة MCP قوية وآمنة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 13
أعجبني
13
5
إعادة النشر
مشاركة
تعليق
0/400
BagHolderTillRetire
· منذ 7 س
الأمان غير كافٍ، هذه حفرة كبيرة جداً
شاهد النسخة الأصليةرد0
DogeBachelor
· منذ 7 س
فخ كثيرة، والقليل منها موثوق.
شاهد النسخة الأصليةرد0
CafeMinor
· منذ 7 س
كانت البدايات مليئة بالثغرات.
شاهد النسخة الأصليةرد0
GamefiHarvester
· منذ 7 س
هل أصبح التسميم حقًا متقدمًا إلى هذا الحد؟ هل تم التعامل مع هذه العقود بطريقة رديئة؟
تحليل عميق للمخاطر الأمنية في نظام MCP: الكشف الكامل عن أساليب التسميم الخفي والتلاعب
التسميم الخفي والتلاعب في نظام MCP
MCP (Model Context Protocol) النظام حاليًا في مرحلة التطوير المبكرة، والبيئة العامة غامضة إلى حد ما، وطرق الهجوم المحتملة تظهر باستمرار، وتصميم البروتوكولات والأدوات الحالية يصعب الدفاع عنها بشكل فعال. من أجل تعزيز أمان MCP، قامت إحدى شركات الأمان بفتح مصدر أداة MasterMCP، من خلال تدريبات الهجوم العملية لمساعدة في اكتشاف الثغرات الأمنية في تصميم المنتج، وبالتالي تعزيز مشروع MCP.
ستعرض هذه المقالة أساليب الهجوم الشائعة ضمن نظام MCP، مثل تسميم المعلومات، وإخفاء التعليمات الخبيثة، وغيرها من الحالات الحقيقية. سيتم أيضًا مفتاح جميع النصوص البرمجية المستخدمة في العرض، ويمكن إعادة إنتاج العملية بالكامل في بيئة آمنة، وحتى تطوير ملحقات اختبار هجوم خاصة بناءً على هذه النصوص.
نظرة عامة على الهيكل العام
عرض الهدف الهجومي MCP:Toolbox
أداة إدارة MCP الرسمية التي أطلقتها أحد المواقع المعروفة بإضافات MCP. تم اختيار Toolbox كهدف للاختبار بناءً على: قاعدة مستخدمين كبيرة، تمثيلية؛ دعم التثبيت التلقائي لإضافات أخرى؛ تحتوي على إعدادات حساسة، مما يسهل العرض.
عرض الاستخدام الضار MC:MasterMC
MasterMCP هو أداة لمحاكاة MCP ضارة مصممة لاختبار الأمان، تستخدم تصميم معماري قائم على المكونات، وتحتوي على الوحدات الرئيسية التالية:
إنشاء خادم HTTP بسيط باستخدام إطار FastAPI لمحاكاة بيئة الويب الشائعة. تبدو هذه الصفحات طبيعية على السطح، لكن في الواقع تحتوي على حمولات خبيثة مصممة بعناية في الشيفرة المصدرية أو في الردود على الواجهات.
يستخدم MasterMCP طريقة المكونات الإضافية للتوسع، مما يسهل إضافة طرق الهجوم الجديدة بسرعة. بعد التشغيل، سيقوم بتشغيل خدمة FastAPI في عملية فرعية.
عميل العرض
نموذج كبير للاستخدام في العرض
تم اختيار هذا الإصدار لأنه قد تم تحسينه في التعرف على العمليات الحساسة، وهو يمثل القدرة التشغيلية القوية الحالية في نظام MCP البيئي.
استدعاء خبيث عبر MCP
هجوم تسميم محتوى الويب
زر المؤشر للوصول إلى موقع اختبار محلي، هذه صفحة "عالم الكعك اللذيذ" التي تبدو غير ضارة.
تنفيذ الأمر:
استرجع محتوى
أظهرت النتائج أن Cursor لم يقرأ محتوى الصفحة فحسب، بل أعاد أيضًا بيانات التكوين الحساسة المحلية إلى خادم الاختبار. في الشيفرة المصدرية، تم زرع الكلمات الرئيسية الضارة على شكل تعليقات HTML.
زيارة صفحة /encode، تبدو مشابهة للمثال السابق، ولكن تم تشفير الكلمات التحذيرية الضارة، مما يجعلها أكثر خفاء.
حتى لو كان الكود المصدري لا يحتوي على كلمات مفتاحية نصية، فإن الهجوم لا يزال ينفذ بنجاح.
معلومات أداة MC للإرجاع
أدخل الأمر المحاكي: احصل على الكثير من التفاح
بعد تنفيذ الأمر، قام العميل باستدعاء Toolbox عبر MCP ونجح في إضافة خادم MCP جديد.
هجوم تلوث واجهة الطرف الثالث
تنفيذ الطلب:
استرجاع json من /api/data
النتيجة: تم إدخال كلمات تحذيرية خبيثة في بيانات JSON المسترجعة وتم تفعيل التنفيذ الخبيث بنجاح.
تقنية التسميم في مرحلة تهيئة MCP
هجوم تغطية الدالة الخبيثة
كتب MasterMCP دالة remove_server بنفس اسم Toolbox، وقام بترميز كلمات التحذير الخبيثة.
تنفيذ الأمر:
إزالة أداة الخادم الإضافي
لم يستدعِ Claude Desktop الطريقة الأصلية remove_server من toolbox، بل قام بتفعيل الطريقة التي تحمل نفس الاسم المقدمة من MasterMCP.
المبدأ هو التأكيد على "طُرق السابقة تم إلغاؤها"، مع تحفيز النموذج الكبير لاستدعاء الدوال المتهورة.
إضافة منطق فحص عالمي خبيث
قام MasterMCP بكتابة أداة banana، التي تجبر جميع الأدوات على تنفيذ هذه الأداة لإجراء الفحص الأمني قبل التشغيل.
قبل كل تنفيذ للدالة، يقوم النظام أولاً باستدعاء آلية فحص الموز. يتم تحقيق ذلك من خلال التأكيد المتكرر في الكود على "يجب تشغيل فحص الموز" كحقن منطقي عالمي.
تقنيات متقدمة لإخفاء الكلمات الدلالية الضارة
طريقة ترميز صديقة للنماذج الكبيرة
آلية إرجاع الحمولة الخبيثة العشوائية
عند الطلب /random، يتم إعادة صفحة تحمل حمولة ضارة بشكل عشوائي في كل مرة، مما يزيد بشكل كبير من صعوبة الكشف والتتبع.
ملخص
من خلال العرض التوضيحي العملي لـ MasterMCP، رأينا بشكل مباشر المخاطر الأمنية المختلفة المخفية في نظام MCP. من حقن الكلمات الرئيسية البسيطة، واستدعاءات MCP المتعددة، إلى الهجمات في مرحلة التهيئة الأكثر خفاءً وإخفاء التعليمات الضارة، كل مرحلة تذكرنا بأن نظام MCP، رغم قوته، إلا أنه هش أيضًا.
نأمل أن يكون هذا العرض قد نبه الجميع: سواء كان المطورون أو المستخدمون، يجب أن يبقوا يقظين بما يكفي تجاه نظام MCP، ويجب أن يراقبوا كل تفاعل، وكل سطر من الشيفرة، وكل قيمة راجعة. فقط من خلال التعامل بدقة مع كل التفاصيل يمكن بناء بيئة MCP قوية وآمنة.