MCP (Модель Контекстного Протокола) система в настоящее время находится на ранней стадии развития, общая обстановка довольно хаотична, различные потенциальные способы атак появляются один за другим, существующие протоколы и инструменты сложно эффективно защитить. Для повышения безопасности MCP одна из компаний по безопасности открыла исходный код инструмента MasterMCP, который с помощью практических атак помогает выявить уязвимости в дизайне продукта, тем самым укрепляя проект MCP.
В данной статье будут продемонстрированы распространенные способы атак в рамках системы MCP, такие как отравление информации, скрытие вредоносных команд и другие реальные примеры. Все демонстрационные скрипты также будут открыты, их можно будет полностью воспроизвести в безопасной среде, а также разработать свои собственные плагины для тестирования атак на основе этих скриптов.
Обзор общей архитектуры
Демонстрационная атака на цель MCP: Toolbox
Официальный инструмент управления MCP, выпущенный известным сайтом плагинов MCP. Выбор Toolbox в качестве объекта тестирования основан на: большом количестве пользователей, представительности; поддержке автоматической установки других плагинов; наличии чувствительных конфигураций, удобных для демонстрации.
демонстрационное использование вредоносного MCP:MasterMCP
MasterMCP — это инструмент моделирования злонамеренного MCP, специально разработанный для тестирования безопасности, использующий модульную архитектуру и включающий в себя следующие ключевые модули:
Моделирование локальных веб-сервисов:
С помощью фреймворка FastAPI создается простой HTTP-сервер, имитирующий обычную веб-среду. Эти страницы выглядят нормально, но на самом деле в исходном коде или ответах интерфейса скрыты тщательно разработанные вредоносные нагрузки.
Локальная плагинизированная архитектура MCP
MasterMCP использует плагинную архитектуру для расширения, что позволяет быстро добавлять новые методы атаки. После запуска будет запущен сервис FastAPI в дочернем процессе.
демонстрационный клиент
Cursor: Один из самых популярных в мире IDE для программирования с поддержкой ИИ
Claude Desktop: Официальный клиент Anthropic
Демонстрационный большой модель
Клод 3.7
Выбор этой версии обусловлен улучшениями в распознавании чувствительных операций, а также представляет собой сильные операционные возможности в текущей экосистеме MC.
Кросс-MC злонамеренный вызов
атака отравления содержимого веб-страницы
Комментарийный вредоносный код
Курсор обращается к локальному тестовому сайту, это страница "Вкусный мир тортов", которая кажется безобидной.
Выполнить команду:
Получить содержимое
Результаты показывают, что Cursor не только считывает содержимое веб-страницы, но и передает локальные конфиденциальные данные на тестовый сервер. В исходном коде вредоносные подсказки внедрены в виде HTML-комментариев.
Кодирующая аннотация для отравления
Страница доступа/кодирования выглядит так же, как и в предыдущем примере, но вредоносные подсказки закодированы, что делает их более скрытыми.
Даже если исходный код не содержит явных подсказок, атака все равно успешно выполняется.
MCP инструмент возвращает информацию о яде
Введите команду симуляции: получить много яблок
После срабатывания команды клиент вызвал Toolbox через MCP и успешно добавил новый сервер MCP.
атака на загрязнение стороннего интерфейса
Выполнение запроса:
Получите json из /api/data
Результат: злонамеренные подсказки были внедрены в возвращенные данные JSON и успешно вызвали злонамеренное выполнение.
Техника отравления на этапе инициализации MCP
атака с перекрытием злоумышленных функций
MasterMCP написал функцию remove_server с тем же именем, что и Toolbox, и закодировал скрытые вредоносные подсказки.
Выполнение команды:
инструмент для удаления плагина сервера
Claude Desktop не вызвал изначальный метод toolbox remove_server, а вместо этого вызвал метод с тем же именем, предоставленный MasterMCP.
Принцип заключается в акцентировании внимания на том, что "исходный метод был отменен", с приоритетным побуждением большой модели вызывать функции с вредоносным переопределением.
Добавить логику вредоносной глобальной проверки
MasterMCP разработал инструмент banana, который требует обязательного выполнения данного инструмента для проверки безопасности перед запуском всех остальных инструментов.
Перед каждым выполнением функции система сначала вызывает механизм проверки banana. Это достигается за счет повторного подчеркивания в коде "необходимо запустить проверку banana", что представляет собой глобальную инъекцию логики.
Дружественный к большим моделям способ кодирования
Английская среда: использование кодирования Hex Byte
Китайская среда: использование кодировки NCR или кодировки JavaScript
механизм возврата случайной вредоносной нагрузки
При запросе /random каждый раз случайным образом возвращается страница с вредоносной нагрузкой, что значительно увеличивает сложность обнаружения и отслеживания.
Резюме
Через практическую демонстрацию MasterMCP мы наглядно увидели различные скрытые угрозы безопасности в системе MCP. От простых инъекций подсказок, меж-MCP вызовов, до более скрытых атак на этапе инициализации и сокрытия вредоносных команд, каждый этап напоминает нам: хотя экосистема MCP мощна, она также уязвима.
Надеюсь, эта демонстрация сможет прозвучать как сигнал тревоги для всех: как разработчики, так и пользователи должны сохранять достаточную бдительность к системе MCP, постоянно обращая внимание на каждое взаимодействие, каждую строку кода и каждое возвращаемое значение. Только при строгом отношении к каждой детали можно действительно построить надежную и безопасную среду MCP.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
5
Репост
Поделиться
комментарий
0/400
BagHolderTillRetire
· 8ч назад
Безопасность не на высоте, такой большой坑.
Посмотреть ОригиналОтветить0
DogeBachelor
· 8ч назад
Ловушек слишком много, надежных не так уж и много.
Посмотреть ОригиналОтветить0
CafeMinor
· 8ч назад
На ранних стадиях было много уязвимостей.
Посмотреть ОригиналОтветить0
GamefiHarvester
· 8ч назад
Настолько продвинутое отравление? Этот контракт с небольшим налетом деревенщины оказался под угрозой.
Глубокий анализ экологической безопасности MCP: полное раскрытие скрытых методов отравления и манипуляции.
Скрытое отравление и манипуляция в системе MCP
MCP (Модель Контекстного Протокола) система в настоящее время находится на ранней стадии развития, общая обстановка довольно хаотична, различные потенциальные способы атак появляются один за другим, существующие протоколы и инструменты сложно эффективно защитить. Для повышения безопасности MCP одна из компаний по безопасности открыла исходный код инструмента MasterMCP, который с помощью практических атак помогает выявить уязвимости в дизайне продукта, тем самым укрепляя проект MCP.
В данной статье будут продемонстрированы распространенные способы атак в рамках системы MCP, такие как отравление информации, скрытие вредоносных команд и другие реальные примеры. Все демонстрационные скрипты также будут открыты, их можно будет полностью воспроизвести в безопасной среде, а также разработать свои собственные плагины для тестирования атак на основе этих скриптов.
Обзор общей архитектуры
Демонстрационная атака на цель MCP: Toolbox
Официальный инструмент управления MCP, выпущенный известным сайтом плагинов MCP. Выбор Toolbox в качестве объекта тестирования основан на: большом количестве пользователей, представительности; поддержке автоматической установки других плагинов; наличии чувствительных конфигураций, удобных для демонстрации.
демонстрационное использование вредоносного MCP:MasterMCP
MasterMCP — это инструмент моделирования злонамеренного MCP, специально разработанный для тестирования безопасности, использующий модульную архитектуру и включающий в себя следующие ключевые модули:
С помощью фреймворка FastAPI создается простой HTTP-сервер, имитирующий обычную веб-среду. Эти страницы выглядят нормально, но на самом деле в исходном коде или ответах интерфейса скрыты тщательно разработанные вредоносные нагрузки.
MasterMCP использует плагинную архитектуру для расширения, что позволяет быстро добавлять новые методы атаки. После запуска будет запущен сервис FastAPI в дочернем процессе.
демонстрационный клиент
Демонстрационный большой модель
Выбор этой версии обусловлен улучшениями в распознавании чувствительных операций, а также представляет собой сильные операционные возможности в текущей экосистеме MC.
Кросс-MC злонамеренный вызов
атака отравления содержимого веб-страницы
Курсор обращается к локальному тестовому сайту, это страница "Вкусный мир тортов", которая кажется безобидной.
Выполнить команду:
Получить содержимое
Результаты показывают, что Cursor не только считывает содержимое веб-страницы, но и передает локальные конфиденциальные данные на тестовый сервер. В исходном коде вредоносные подсказки внедрены в виде HTML-комментариев.
Страница доступа/кодирования выглядит так же, как и в предыдущем примере, но вредоносные подсказки закодированы, что делает их более скрытыми.
Даже если исходный код не содержит явных подсказок, атака все равно успешно выполняется.
MCP инструмент возвращает информацию о яде
Введите команду симуляции: получить много яблок
После срабатывания команды клиент вызвал Toolbox через MCP и успешно добавил новый сервер MCP.
атака на загрязнение стороннего интерфейса
Выполнение запроса:
Получите json из /api/data
Результат: злонамеренные подсказки были внедрены в возвращенные данные JSON и успешно вызвали злонамеренное выполнение.
Техника отравления на этапе инициализации MCP
атака с перекрытием злоумышленных функций
MasterMCP написал функцию remove_server с тем же именем, что и Toolbox, и закодировал скрытые вредоносные подсказки.
Выполнение команды:
инструмент для удаления плагина сервера
Claude Desktop не вызвал изначальный метод toolbox remove_server, а вместо этого вызвал метод с тем же именем, предоставленный MasterMCP.
Принцип заключается в акцентировании внимания на том, что "исходный метод был отменен", с приоритетным побуждением большой модели вызывать функции с вредоносным переопределением.
Добавить логику вредоносной глобальной проверки
MasterMCP разработал инструмент banana, который требует обязательного выполнения данного инструмента для проверки безопасности перед запуском всех остальных инструментов.
Перед каждым выполнением функции система сначала вызывает механизм проверки banana. Это достигается за счет повторного подчеркивания в коде "необходимо запустить проверку banana", что представляет собой глобальную инъекцию логики.
Продвинутые приемы скрытия злонамеренных подсказок
Дружественный к большим моделям способ кодирования
механизм возврата случайной вредоносной нагрузки
При запросе /random каждый раз случайным образом возвращается страница с вредоносной нагрузкой, что значительно увеличивает сложность обнаружения и отслеживания.
Резюме
Через практическую демонстрацию MasterMCP мы наглядно увидели различные скрытые угрозы безопасности в системе MCP. От простых инъекций подсказок, меж-MCP вызовов, до более скрытых атак на этапе инициализации и сокрытия вредоносных команд, каждый этап напоминает нам: хотя экосистема MCP мощна, она также уязвима.
Надеюсь, эта демонстрация сможет прозвучать как сигнал тревоги для всех: как разработчики, так и пользователи должны сохранять достаточную бдительность к системе MCP, постоянно обращая внимание на каждое взаимодействие, каждую строку кода и каждое возвращаемое значение. Только при строгом отношении к каждой детали можно действительно построить надежную и безопасную среду MCP.