Analyse approfondie des risques de sécurité de l'écosystème MCP : révélations complètes sur les techniques de manipulation et d'empoisonnement cachées.
Empoisonnement et manipulation cachés dans le système MC
MCP (Modèle de Contexte de Protocole) Le système est actuellement en phase de développement précoce, l'environnement global étant plutôt chaotique, avec une multitude de méthodes d'attaques potentielles émergentes, les protocoles et outils existants étant difficiles à concevoir pour une défense efficace. Pour améliorer la sécurité de MCP, une entreprise de sécurité a rendu l'outil MasterMCP open source, aidant à identifier les vulnérabilités de sécurité dans la conception des produits grâce à des exercices d'attaque réels, afin de renforcer le projet MCP.
Cet article présentera des méthodes d'attaque courantes dans le cadre du système MCP, telles que l'empoisonnement d'informations et l'injection de commandes malveillantes, à travers de véritables cas. Tous les scripts de démonstration seront également open source, permettant de reproduire l'ensemble du processus dans un environnement sécurisé, et même de développer ses propres plugins de test d'attaque basés sur ces scripts.
Vue d'ensemble de l'architecture globale
Cible d'attaque de démonstration MCP:Toolbox
Un outil de gestion MCP officiel lancé par un site web de plugins MCP bien connu. Le choix de Toolbox comme cible de test est principalement basé sur : une grande base d'utilisateurs, représentatif ; supporte l'installation automatique d'autres plugins ; contient des configurations sensibles, ce qui facilite la démonstration.
démonstration d'utilisation de MCP malveillant : MasterMCP
MasterMCP est un outil de simulation de MCP malveillant spécialement conçu pour les tests de sécurité, basé sur une architecture modulaire et comprenant les modules clés suivants :
Simulation de services de site Web local :
Construire un serveur HTTP simple avec le framework FastAPI, simulant un environnement de page web courant. Ces pages semblent normales à la surface, mais contiennent en réalité des charges malveillantes soigneusement conçues dans le code source ou les réponses d'interface.
Architecture MCP de plugins locaux
MasterMCP adopte une approche modulaire pour s'étendre, facilitant l'ajout rapide de nouvelles méthodes d'attaque. Lors de son exécution, un service FastAPI sera exécuté dans un sous-processus.
Client de démonstration
Cursor : l'un des IDE de programmation assistée par l'IA les plus populaires au monde
Claude Desktop: Client officiel d'Anthropic
modèle à grande échelle utilisé pour la démonstration
Claude 3.7
Choisir cette version en raison des améliorations apportées à la détection des opérations sensibles, tout en représentant une capacité opérationnelle relativement forte dans l'écosystème MCP actuel.
Invocation malveillante Cross-MCP
attaque de pollution de contenu web
Injection de commentaires
Accédez au site de test local avec le curseur, c'est une page "Delicious Cake World" qui semble inoffensive.
Exécuter l'instruction :
Récupérer le contenu de
Les résultats montrent que le curseur non seulement lit le contenu de la page web, mais renvoie également les données de configuration sensibles locales au serveur de test. Dans le code source, des mots clés malveillants sont intégrés sous forme de commentaires HTML.
Poisonnement par commentaire codé
Accédez à la page /encode, elle semble identique à l'exemple précédent, mais les mots clés malveillants ont été codés, rendant leur détection plus discrète.
Même si le code source ne contient pas de mots-clés en clair, l'attaque réussit toujours.
MCP outils information de retour empoisonnement
Entrer l'instruction simulée : obtenir beaucoup de pommes
Après avoir déclenché l'instruction, le client a appelé Toolbox à travers le MCP et a réussi à ajouter un nouveau serveur MCP.
attaque de pollution des interfaces tierces
Exécuter la demande :
Récupérer le json depuis /api/data
Résultat : des mots-clés malveillants ont été insérés dans les données JSON retournées et ont réussi à déclencher une exécution malveillante.
Technique de poisoning lors de la phase d'initialisation de MC
attaque par couverture de fonction malveillante
MasterMCP a écrit une fonction remove_server du même nom que Toolbox, et a codé des mots-clés malveillants cachés.
Exécuter la commande :
boîte à outils supprimer récupérer plugin serveur
Claude Desktop n'a pas appelé la méthode remove_server d'origine de toolbox, mais a plutôt déclenché la méthode homonyme fournie par MasterMCP.
Le principe est d'accentuer que "les anciennes méthodes sont obsolètes" et de prioriser l'incitation au grand modèle à appeler des fonctions malveillantes.
Ajouter une logique de vérification globale malveillante
MasterMCP a développé l'outil banana, qui oblige tous les outils à exécuter cet outil pour une vérification de sécurité avant de fonctionner.
Avant chaque exécution de la fonction, le système appelle d'abord le mécanisme de vérification banana. Cela est réalisé par une injection logique globale qui souligne à plusieurs reprises dans le code "doit exécuter la vérification banana".
Techniques avancées pour cacher les mots d'avertissement malveillants
manière de coder conviviale pour les grands modèles
Environnement chinois : utiliser l'encodage NCR ou l'encodage JavaScript
Mécanisme de retour de charge utile malveillante aléatoire
Lorsqu'une requête /random est effectuée, une page avec une charge utile malveillante est retournée de manière aléatoire à chaque fois, ce qui augmente considérablement la difficulté de détection et de traçage.
https://img-cdn.gateio.im/webp-social/moments-bf6d8976b54bebbec34699753f4dbb70.webp(
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
5
Reposter
Partager
Commentaire
0/400
BagHolderTillRetire
· Il y a 7h
La sécurité n'est pas au rendez-vous, c'est un gros trou.
Voir l'originalRépondre0
DogeBachelor
· Il y a 7h
Il y a trop de pièges, ceux qui sont fiables ne sont pas nombreux.
Voir l'originalRépondre0
CafeMinor
· Il y a 7h
Au début, il y avait beaucoup de vulnérabilités.
Voir l'originalRépondre0
GamefiHarvester
· Il y a 7h
C'est quoi ce niveau de piratage ? Ce contrat a juste un petit goût de terre et il est déjà compromis.
Analyse approfondie des risques de sécurité de l'écosystème MCP : révélations complètes sur les techniques de manipulation et d'empoisonnement cachées.
Empoisonnement et manipulation cachés dans le système MC
MCP (Modèle de Contexte de Protocole) Le système est actuellement en phase de développement précoce, l'environnement global étant plutôt chaotique, avec une multitude de méthodes d'attaques potentielles émergentes, les protocoles et outils existants étant difficiles à concevoir pour une défense efficace. Pour améliorer la sécurité de MCP, une entreprise de sécurité a rendu l'outil MasterMCP open source, aidant à identifier les vulnérabilités de sécurité dans la conception des produits grâce à des exercices d'attaque réels, afin de renforcer le projet MCP.
Cet article présentera des méthodes d'attaque courantes dans le cadre du système MCP, telles que l'empoisonnement d'informations et l'injection de commandes malveillantes, à travers de véritables cas. Tous les scripts de démonstration seront également open source, permettant de reproduire l'ensemble du processus dans un environnement sécurisé, et même de développer ses propres plugins de test d'attaque basés sur ces scripts.
Vue d'ensemble de l'architecture globale
Cible d'attaque de démonstration MCP:Toolbox
Un outil de gestion MCP officiel lancé par un site web de plugins MCP bien connu. Le choix de Toolbox comme cible de test est principalement basé sur : une grande base d'utilisateurs, représentatif ; supporte l'installation automatique d'autres plugins ; contient des configurations sensibles, ce qui facilite la démonstration.
démonstration d'utilisation de MCP malveillant : MasterMCP
MasterMCP est un outil de simulation de MCP malveillant spécialement conçu pour les tests de sécurité, basé sur une architecture modulaire et comprenant les modules clés suivants :
Construire un serveur HTTP simple avec le framework FastAPI, simulant un environnement de page web courant. Ces pages semblent normales à la surface, mais contiennent en réalité des charges malveillantes soigneusement conçues dans le code source ou les réponses d'interface.
MasterMCP adopte une approche modulaire pour s'étendre, facilitant l'ajout rapide de nouvelles méthodes d'attaque. Lors de son exécution, un service FastAPI sera exécuté dans un sous-processus.
Client de démonstration
modèle à grande échelle utilisé pour la démonstration
Choisir cette version en raison des améliorations apportées à la détection des opérations sensibles, tout en représentant une capacité opérationnelle relativement forte dans l'écosystème MCP actuel.
Invocation malveillante Cross-MCP
attaque de pollution de contenu web
Accédez au site de test local avec le curseur, c'est une page "Delicious Cake World" qui semble inoffensive.
Exécuter l'instruction :
Récupérer le contenu de
Les résultats montrent que le curseur non seulement lit le contenu de la page web, mais renvoie également les données de configuration sensibles locales au serveur de test. Dans le code source, des mots clés malveillants sont intégrés sous forme de commentaires HTML.
Accédez à la page /encode, elle semble identique à l'exemple précédent, mais les mots clés malveillants ont été codés, rendant leur détection plus discrète.
Même si le code source ne contient pas de mots-clés en clair, l'attaque réussit toujours.
MCP outils information de retour empoisonnement
Entrer l'instruction simulée : obtenir beaucoup de pommes
Après avoir déclenché l'instruction, le client a appelé Toolbox à travers le MCP et a réussi à ajouter un nouveau serveur MCP.
attaque de pollution des interfaces tierces
Exécuter la demande :
Récupérer le json depuis /api/data
Résultat : des mots-clés malveillants ont été insérés dans les données JSON retournées et ont réussi à déclencher une exécution malveillante.
Technique de poisoning lors de la phase d'initialisation de MC
attaque par couverture de fonction malveillante
MasterMCP a écrit une fonction remove_server du même nom que Toolbox, et a codé des mots-clés malveillants cachés.
Exécuter la commande :
boîte à outils supprimer récupérer plugin serveur
Claude Desktop n'a pas appelé la méthode remove_server d'origine de toolbox, mais a plutôt déclenché la méthode homonyme fournie par MasterMCP.
Le principe est d'accentuer que "les anciennes méthodes sont obsolètes" et de prioriser l'incitation au grand modèle à appeler des fonctions malveillantes.
Ajouter une logique de vérification globale malveillante
MasterMCP a développé l'outil banana, qui oblige tous les outils à exécuter cet outil pour une vérification de sécurité avant de fonctionner.
Avant chaque exécution de la fonction, le système appelle d'abord le mécanisme de vérification banana. Cela est réalisé par une injection logique globale qui souligne à plusieurs reprises dans le code "doit exécuter la vérification banana".
Techniques avancées pour cacher les mots d'avertissement malveillants
manière de coder conviviale pour les grands modèles
Mécanisme de retour de charge utile malveillante aléatoire
Lorsqu'une requête /random est effectuée, une page avec une charge utile malveillante est retournée de manière aléatoire à chaque fois, ce qui augmente considérablement la difficulté de détection et de traçage.
https://img-cdn.gateio.im/webp-social/moments-bf6d8976b54bebbec34699753f4dbb70.webp(