Envenenamiento oculto y manipulación en el sistema MCP
MCP (Modelo de Contexto del Protocolo) el sistema se encuentra actualmente en una etapa temprana de desarrollo, el entorno general es bastante caótico, y surgen constantemente diversas formas de ataque potencial. Los protocolos y herramientas existentes son difíciles de defender de manera efectiva. Para mejorar la seguridad de MCP, una empresa de seguridad ha abierto el código de la herramienta MasterMCP, ayudando a identificar vulnerabilidades de seguridad en el diseño del producto a través de simulaciones de ataques reales, con el fin de reforzar el proyecto MCP.
Este artículo demostrará los métodos de ataque comunes en el sistema MCP, como la inyección de información y la ocultación de instrucciones maliciosas, entre otros casos reales. Todos los scripts de demostración también se abrirán como código fuente, y se podrán reproducir completamente en un entorno seguro, e incluso desarrollar sus propios complementos de prueba de ataque basados en estos scripts.
Visión general de la arquitectura
objetivo del ataque de demostración MCP:Toolbox
Una herramienta oficial de gestión de MCP lanzada por un conocido sitio web de plugins de MCP. La elección de Toolbox como objetivo de prueba se basa principalmente en: una gran base de usuarios, representatividad; soporte para la instalación automática de otros plugins; incluye configuraciones sensibles, lo que facilita la demostración.
Uso malicioso de MCP: MasterMCP
MasterMCP es una herramienta simulada de MCP malicioso diseñada específicamente para pruebas de seguridad, que utiliza una arquitectura basada en plugins e incluye los siguientes módulos clave:
Simulación de servicios de sitios web locales:
A través del marco FastAPI, se construye un servidor HTTP simple que simula un entorno web común. Estas páginas parecen normales, pero en realidad ocultan cargas maliciosas cuidadosamente diseñadas en el código fuente o en las respuestas de la interfaz.
Arquitectura MCP local y plugin
MasterMCP utiliza un enfoque modular para expandirse, lo que facilita la adición rápida de nuevos métodos de ataque. Al ejecutarse, iniciará un servicio FastAPI en un subproceso.
cliente de demostración
Cursor: uno de los IDE de programación asistidos por IA más populares en el mundo
Claude Desktop: Cliente oficial de Anthropic
modelo grande utilizado para demostración
Claude 3.7
Elegir esta versión debido a las mejoras en la identificación de operaciones sensibles, al mismo tiempo que representa una fuerte capacidad operativa en el ecosistema actual de MCP.
Invocación Maliciosa Cross-MCP
ataque de envenenamiento de contenido web
Inyección de comentarios
Cursor accede al sitio web de prueba local, esta es una página que parece inofensiva "Delicious Cake World".
Ejecutar instrucción:
Obtén el contenido de
Los resultados muestran que Cursor no solo leyó el contenido de la página web, sino que también devolvió datos de configuración sensibles locales al servidor de pruebas. En el código fuente, las palabras clave maliciosas están incrustadas en forma de comentarios HTML.
Envenenamiento de comentarios de tipo codificado
Acceder a la página /encode, parece igual que el ejemplo anterior, pero las palabras clave maliciosas están codificadas, lo que las hace más discretas.
Incluso si el código fuente no contiene palabras clave en texto claro, el ataque aún se ejecuta con éxito.
MCP herramienta devuelve información de envenenamiento
Introduce el comando simulado: obtener muchas manzanas
Después de activar el comando, el cliente llamó a Toolbox a través de MCP y agregó con éxito un nuevo servidor MCP.
ataque de contaminación de interfaz de terceros
Ejecutar solicitud:
Obtener json de /api/data
Resultado: La palabra clave maliciosa fue incrustada en los datos JSON devueltos y se activó con éxito la ejecución maliciosa.
Técnica de envenenamiento en la fase de inicialización de MCP
ataque de sobrescritura de función maliciosa
MasterMCP escribió una función remove_server con el mismo nombre que Toolbox y codificó palabras clave maliciosas ocultas.
Ejecutar instrucciones:
toolbox remove fetch plugin server
Claude Desktop no llamó al método remove_server de toolbox originalmente, sino que activó el método homónimo proporcionado por MasterMCP.
El principio es enfatizar que "el método original ha sido desechado", priorizando inducir al gran modelo a invocar funciones de sobreescritura maliciosas.
agregar lógica de verificación global maliciosa
MasterMCP escribió la herramienta banana, que obliga a que todas las herramientas realicen esta herramienta para una verificación de seguridad antes de ejecutarse.
Antes de ejecutar la función, el sistema siempre llamará primero al mecanismo de verificación de banana. Esto se logra a través de la inyección de lógica global que enfatiza repetidamente en el código "debe ejecutarse la verificación de banana".
Técnicas avanzadas para ocultar palabras clave maliciosas
forma de codificación amigable con los modelos grandes
Entorno en inglés: usar codificación Hex Byte
Entorno en chino: usar codificación NCR o codificación JavaScript
mecanismo de devolución de carga maliciosa aleatoria
Cuando se solicita /random, siempre devuelve aleatoriamente una página con carga maliciosa, lo que aumenta significativamente la dificultad de detección y rastreo.
Resumen
A través de la demostración práctica de MasterMCP, hemos visto de manera intuitiva las diversas vulnerabilidades de seguridad ocultas en el sistema MCP. Desde la inyección de palabras clave simples, llamadas entre MCP, hasta ataques en la fase de inicialización más encubiertos y la ocultación de instrucciones maliciosas, cada etapa nos recuerda: aunque el ecosistema MCP es poderoso, también es vulnerable.
Espero que esta demostración sirva como una llamada de atención para todos: tanto desarrolladores como usuarios deben mantener una suficiente vigilancia sobre el sistema MCP, prestando atención a cada interacción, cada línea de código y cada valor de retorno. Solo al tratar cada detalle con rigor se puede construir un entorno MCP sólido y seguro.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
15 me gusta
Recompensa
15
4
Republicar
Compartir
Comentar
0/400
BagHolderTillRetire
· 08-09 07:03
La seguridad no es buena, es un gran agujero.
Ver originalesResponder0
DogeBachelor
· 08-09 07:01
Hay demasiadas trampas, no muchas son confiables.
Ver originalesResponder0
CafeMinor
· 08-09 07:00
Al principio había muchas vulnerabilidades.
Ver originalesResponder0
GamefiHarvester
· 08-09 06:56
¿Realmente la intoxicación está tan avanzada? Este contrato con un poco de sabor local ha sido manipulado.
Análisis profundo de los riesgos de seguridad del ecosistema MCP: revelación completa de métodos de envenenamiento encubiertos y manipulación.
Envenenamiento oculto y manipulación en el sistema MCP
MCP (Modelo de Contexto del Protocolo) el sistema se encuentra actualmente en una etapa temprana de desarrollo, el entorno general es bastante caótico, y surgen constantemente diversas formas de ataque potencial. Los protocolos y herramientas existentes son difíciles de defender de manera efectiva. Para mejorar la seguridad de MCP, una empresa de seguridad ha abierto el código de la herramienta MasterMCP, ayudando a identificar vulnerabilidades de seguridad en el diseño del producto a través de simulaciones de ataques reales, con el fin de reforzar el proyecto MCP.
Este artículo demostrará los métodos de ataque comunes en el sistema MCP, como la inyección de información y la ocultación de instrucciones maliciosas, entre otros casos reales. Todos los scripts de demostración también se abrirán como código fuente, y se podrán reproducir completamente en un entorno seguro, e incluso desarrollar sus propios complementos de prueba de ataque basados en estos scripts.
Visión general de la arquitectura
objetivo del ataque de demostración MCP:Toolbox
Una herramienta oficial de gestión de MCP lanzada por un conocido sitio web de plugins de MCP. La elección de Toolbox como objetivo de prueba se basa principalmente en: una gran base de usuarios, representatividad; soporte para la instalación automática de otros plugins; incluye configuraciones sensibles, lo que facilita la demostración.
Uso malicioso de MCP: MasterMCP
MasterMCP es una herramienta simulada de MCP malicioso diseñada específicamente para pruebas de seguridad, que utiliza una arquitectura basada en plugins e incluye los siguientes módulos clave:
A través del marco FastAPI, se construye un servidor HTTP simple que simula un entorno web común. Estas páginas parecen normales, pero en realidad ocultan cargas maliciosas cuidadosamente diseñadas en el código fuente o en las respuestas de la interfaz.
MasterMCP utiliza un enfoque modular para expandirse, lo que facilita la adición rápida de nuevos métodos de ataque. Al ejecutarse, iniciará un servicio FastAPI en un subproceso.
cliente de demostración
modelo grande utilizado para demostración
Elegir esta versión debido a las mejoras en la identificación de operaciones sensibles, al mismo tiempo que representa una fuerte capacidad operativa en el ecosistema actual de MCP.
Invocación Maliciosa Cross-MCP
ataque de envenenamiento de contenido web
Cursor accede al sitio web de prueba local, esta es una página que parece inofensiva "Delicious Cake World".
Ejecutar instrucción:
Obtén el contenido de
Los resultados muestran que Cursor no solo leyó el contenido de la página web, sino que también devolvió datos de configuración sensibles locales al servidor de pruebas. En el código fuente, las palabras clave maliciosas están incrustadas en forma de comentarios HTML.
Acceder a la página /encode, parece igual que el ejemplo anterior, pero las palabras clave maliciosas están codificadas, lo que las hace más discretas.
Incluso si el código fuente no contiene palabras clave en texto claro, el ataque aún se ejecuta con éxito.
MCP herramienta devuelve información de envenenamiento
Introduce el comando simulado: obtener muchas manzanas
Después de activar el comando, el cliente llamó a Toolbox a través de MCP y agregó con éxito un nuevo servidor MCP.
ataque de contaminación de interfaz de terceros
Ejecutar solicitud:
Obtener json de /api/data
Resultado: La palabra clave maliciosa fue incrustada en los datos JSON devueltos y se activó con éxito la ejecución maliciosa.
Técnica de envenenamiento en la fase de inicialización de MCP
ataque de sobrescritura de función maliciosa
MasterMCP escribió una función remove_server con el mismo nombre que Toolbox y codificó palabras clave maliciosas ocultas.
Ejecutar instrucciones:
toolbox remove fetch plugin server
Claude Desktop no llamó al método remove_server de toolbox originalmente, sino que activó el método homónimo proporcionado por MasterMCP.
El principio es enfatizar que "el método original ha sido desechado", priorizando inducir al gran modelo a invocar funciones de sobreescritura maliciosas.
agregar lógica de verificación global maliciosa
MasterMCP escribió la herramienta banana, que obliga a que todas las herramientas realicen esta herramienta para una verificación de seguridad antes de ejecutarse.
Antes de ejecutar la función, el sistema siempre llamará primero al mecanismo de verificación de banana. Esto se logra a través de la inyección de lógica global que enfatiza repetidamente en el código "debe ejecutarse la verificación de banana".
Técnicas avanzadas para ocultar palabras clave maliciosas
forma de codificación amigable con los modelos grandes
mecanismo de devolución de carga maliciosa aleatoria
Cuando se solicita /random, siempre devuelve aleatoriamente una página con carga maliciosa, lo que aumenta significativamente la dificultad de detección y rastreo.
Resumen
A través de la demostración práctica de MasterMCP, hemos visto de manera intuitiva las diversas vulnerabilidades de seguridad ocultas en el sistema MCP. Desde la inyección de palabras clave simples, llamadas entre MCP, hasta ataques en la fase de inicialización más encubiertos y la ocultación de instrucciones maliciosas, cada etapa nos recuerda: aunque el ecosistema MCP es poderoso, también es vulnerable.
Espero que esta demostración sirva como una llamada de atención para todos: tanto desarrolladores como usuarios deben mantener una suficiente vigilancia sobre el sistema MCP, prestando atención a cada interacción, cada línea de código y cada valor de retorno. Solo al tratar cada detalle con rigor se puede construir un entorno MCP sólido y seguro.