MCP (Model Context Protocol) sistemi şu anda erken gelişim aşamasındadır, genel ortam oldukça karmaşık, çeşitli potansiyel saldırı yöntemleri ortaya çıkmaktadır ve mevcut protokoller ile araçların tasarımı etkili bir şekilde savunma yapmayı zorlaştırmaktadır. MCP'nin güvenliğini artırmak için bir güvenlik şirketi MasterMCP aracını açık kaynak olarak yayınlamıştır, gerçek saldırı tatbikatları ile ürün tasarımındaki güvenlik açıklarını tespit etmeye yardımcı olmaktadır, böylece MCP projelerini güçlendirmektedir.
Bu makale, MCP sistemi altında yaygın saldırı yöntemlerini, örneğin bilgi zehirleme, gizli kötü niyetli komutlar gibi gerçek vakaları sergileyecektir. Tüm gösterim scriptleri de açık kaynak olarak paylaşılacak, güvenli bir ortamda tüm süreci tam olarak yeniden üretmek mümkün olacak, hatta bu scriptler temel alınarak kendi saldırı test eklentilerinizi geliştirebileceksiniz.
Genel Mimari Görünümü
Saldırı Hedefi MCP:Toolbox
Bir ünlü MCP eklenti sitesi tarafından sunulan resmi MCP yönetim aracı. Toolbox'ı test hedefi olarak seçmemizin ana nedeni: büyük bir kullanıcı tabanı, temsil yeteneği; diğer eklentilerin otomatik olarak yüklenmesini destekler; hassas yapılandırmalar içerir, bu da gösterim için kolaylık sağlar.
gösterim amaçlı kötü niyetli MCP: MasterMCP
MasterMCP, güvenlik testleri için özel olarak yazılmış bir sahte kötü niyetli MCP aracıdır ve eklenti tabanlı bir mimari tasarımıyla aşağıdaki ana modülleri içerir:
Yerel web sitesi hizmeti simülasyonu:
FastAPI çerçevesi ile basit bir HTTP sunucusu kurarak yaygın web sayfası ortamını simüle edin. Bu sayfalar dış görünüşte normaldir, ancak kaynak kodunda veya arayüz yanıtlarında özenle tasarlanmış kötü niyetli yükler gizlidir.
Yerel Eklentili MCP Mimarisi
MasterMCP, yeni saldırı türlerini hızlı bir şekilde eklemek için modüler bir yaklaşım benimser. Çalıştırıldığında, alt süreçte FastAPI hizmetini başlatır.
Demo İstemcisi
Cursor: Dünyada şu anda popüler olan AI destekli programlama IDE'lerinden biri
Claude Desktop:Anthropic resmi istemcisi
gösterim için kullanılan büyük model
Claude 3.7
Bu versiyonu seçmenin nedeni, hassas işlem tanıma konusunda yapılmış olan iyileştirmeler ve mevcut MCP ekosistemindeki güçlü işlem yeteneklerini temsil etmesidir.
Cross-MCP Kötü Niyetli Çağrı
web içeriği zehirleme saldırısı
Yorumlayıcı zehirleme
Cursor, yerel test web sitesine erişim sağlıyor, bu görünüşte zararsız "Lezzetli Kek Dünyası" sayfası.
Talimatı yerine getir:
İçeriği al
Sonuçlar, Cursor'un yalnızca web sayfası içeriğini okumakla kalmayıp, yerel hassas yapılandırma verilerini de test sunucusuna geri ilettiğini göstermektedir. Kaynak kodunda, kötü niyetli anahtar kelimeler HTML yorumları şeklinde yerleştirilmiştir.
Kodlama Türü Yorum Zehirleme
/encode sayfasına erişim, önceki örneğe benziyor, ancak kötü niyetli ipucu kelimeleri kodlanmış, daha gizli hale getirilmiş.
Kaynak kodu açıkça ipuçları içermese bile, saldırı yine de başarılı bir şekilde gerçekleştirildi.
MCP aracı geri bildirim zehirleme
Simülasyon komutu girin: çok fazla elma al
Komut tetiklendiğinde, istemci MCP üzerinden Toolbox'u çağırdı ve yeni bir MCP sunucusu başarıyla eklendi.
Üçüncü taraf arayüzü kirletme saldırısı
Talep gerçekleştiriliyor:
/api/data'den json al
Sonuç: Kötü niyetli anahtar kelimeler dönen JSON verilerine yerleştirildi ve kötü niyetli yürütme başarıyla tetiklendi.
MCP başlangıç aşamasında zehirleme teknikleri
kötü niyetli fonksiyon örtme saldırısı
MasterMCP, Toolbox ile aynı ada sahip remove_server fonksiyonunu yazdı ve kötü niyetli ipuçlarını gizlemek için kodladı.
Talimatı yerine getir:
araç kutusu eklentiyi sunucudan kaldır
Claude Desktop, orijinal toolbox remove_server yöntemini çağırmadı, bunun yerine MasterMCP tarafından sağlanan aynı isimli yöntemi tetikledi.
Prensip, "eski yöntemlerin terk edildiğini" vurgulayarak, büyük modelin kötü niyetli olarak üst üste bindirilmiş fonksiyonları çağırmasını öncelikli olarak teşvik etmektir.
kötü niyetli küresel kontrol mantığı ekle
MasterMCP, tüm araçların çalışmadan önce güvenlik kontrolü yapmak için bu aracı zorunlu kılan banana aracını geliştirdi.
Her fonksiyonu çalıştırmadan önce, sistem öncelikle banana kontrol mekanizmasını çağırır. Bu, kod içinde "banana kontrolü çalıştırılmalıdır" ifadesini tekrar tekrar vurgulayarak gerçekleştirilen küresel bir mantık enjekte etme yöntemidir.
Kötü niyetli ipuçlarını gizlemenin ileri teknikleri
büyük model dostu kodlama yöntemi
İngilizce ortam: Hex Byte kodlaması kullanın
Çince ortam: NCR kodlaması veya JavaScript kodlaması kullanma
Rastgele Kötü Amaçlı Yük İade Mekanizması
/random isteği yapıldığında, her seferinde kötü amaçlı yük içeren rastgele bir sayfa döndürülür, bu da tespit ve izleme zorluğunu önemli ölçüde artırır.
Özet
MasterMCP'nin uygulamalı gösterimi sayesinde, MCP sistemindeki çeşitli güvenlik tehditlerini görsel olarak gözlemledik. Basit ipucu enjeksiyonundan, MCP'ler arası çağrılara, daha gizli olan başlatma aşaması saldırılarına ve kötü niyetli komut gizlemeye kadar her aşama bize şunu hatırlatıyor: MCP ekosistemi güçlü olsa da, aynı zamanda kırılgandır.
Bu sunumun herkese bir uyanış sağlamasını umuyorum: ister geliştirici ister kullanıcı olsun, herkes MCP sistemi konusunda yeterince dikkatli olmalı, her etkileşimi, her kod satırını, her dönüş değerini sürekli takip etmelidir. Her bir ayrıntıya titizlikle yaklaşarak, gerçekten sağlam ve güvenli bir MCP ortamı inşa edebiliriz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
15 Likes
Reward
15
4
Repost
Share
Comment
0/400
BagHolderTillRetire
· 08-09 07:03
Güvenlik iyi değil, bu kadar büyük bir çukur.
View OriginalReply0
DogeBachelor
· 08-09 07:01
Tuzak çok fazla, güvenilir olanlar az.
View OriginalReply0
CafeMinor
· 08-09 07:00
Erken dönem, birçok güvenlik açığı vardı.
View OriginalReply0
GamefiHarvester
· 08-09 06:56
Gerçekten zehirleme bu kadar mı gelişmiş? Bu sözleşme biraz yerel bir tat taşısa da başına bunlar geldi.
MCP ekosisteminin güvenlik risklerinin derinlikli analizi: Gizli zehirleme ve manipülasyon yöntemlerinin kapsamlı ifşası
MCP sistemindeki gizli zehirleme ve manipülasyon
MCP (Model Context Protocol) sistemi şu anda erken gelişim aşamasındadır, genel ortam oldukça karmaşık, çeşitli potansiyel saldırı yöntemleri ortaya çıkmaktadır ve mevcut protokoller ile araçların tasarımı etkili bir şekilde savunma yapmayı zorlaştırmaktadır. MCP'nin güvenliğini artırmak için bir güvenlik şirketi MasterMCP aracını açık kaynak olarak yayınlamıştır, gerçek saldırı tatbikatları ile ürün tasarımındaki güvenlik açıklarını tespit etmeye yardımcı olmaktadır, böylece MCP projelerini güçlendirmektedir.
Bu makale, MCP sistemi altında yaygın saldırı yöntemlerini, örneğin bilgi zehirleme, gizli kötü niyetli komutlar gibi gerçek vakaları sergileyecektir. Tüm gösterim scriptleri de açık kaynak olarak paylaşılacak, güvenli bir ortamda tüm süreci tam olarak yeniden üretmek mümkün olacak, hatta bu scriptler temel alınarak kendi saldırı test eklentilerinizi geliştirebileceksiniz.
Genel Mimari Görünümü
Saldırı Hedefi MCP:Toolbox
Bir ünlü MCP eklenti sitesi tarafından sunulan resmi MCP yönetim aracı. Toolbox'ı test hedefi olarak seçmemizin ana nedeni: büyük bir kullanıcı tabanı, temsil yeteneği; diğer eklentilerin otomatik olarak yüklenmesini destekler; hassas yapılandırmalar içerir, bu da gösterim için kolaylık sağlar.
gösterim amaçlı kötü niyetli MCP: MasterMCP
MasterMCP, güvenlik testleri için özel olarak yazılmış bir sahte kötü niyetli MCP aracıdır ve eklenti tabanlı bir mimari tasarımıyla aşağıdaki ana modülleri içerir:
FastAPI çerçevesi ile basit bir HTTP sunucusu kurarak yaygın web sayfası ortamını simüle edin. Bu sayfalar dış görünüşte normaldir, ancak kaynak kodunda veya arayüz yanıtlarında özenle tasarlanmış kötü niyetli yükler gizlidir.
MasterMCP, yeni saldırı türlerini hızlı bir şekilde eklemek için modüler bir yaklaşım benimser. Çalıştırıldığında, alt süreçte FastAPI hizmetini başlatır.
Demo İstemcisi
gösterim için kullanılan büyük model
Bu versiyonu seçmenin nedeni, hassas işlem tanıma konusunda yapılmış olan iyileştirmeler ve mevcut MCP ekosistemindeki güçlü işlem yeteneklerini temsil etmesidir.
Cross-MCP Kötü Niyetli Çağrı
web içeriği zehirleme saldırısı
Cursor, yerel test web sitesine erişim sağlıyor, bu görünüşte zararsız "Lezzetli Kek Dünyası" sayfası.
Talimatı yerine getir:
İçeriği al
Sonuçlar, Cursor'un yalnızca web sayfası içeriğini okumakla kalmayıp, yerel hassas yapılandırma verilerini de test sunucusuna geri ilettiğini göstermektedir. Kaynak kodunda, kötü niyetli anahtar kelimeler HTML yorumları şeklinde yerleştirilmiştir.
/encode sayfasına erişim, önceki örneğe benziyor, ancak kötü niyetli ipucu kelimeleri kodlanmış, daha gizli hale getirilmiş.
Kaynak kodu açıkça ipuçları içermese bile, saldırı yine de başarılı bir şekilde gerçekleştirildi.
MCP aracı geri bildirim zehirleme
Simülasyon komutu girin: çok fazla elma al
Komut tetiklendiğinde, istemci MCP üzerinden Toolbox'u çağırdı ve yeni bir MCP sunucusu başarıyla eklendi.
Üçüncü taraf arayüzü kirletme saldırısı
Talep gerçekleştiriliyor:
/api/data'den json al
Sonuç: Kötü niyetli anahtar kelimeler dönen JSON verilerine yerleştirildi ve kötü niyetli yürütme başarıyla tetiklendi.
MCP başlangıç aşamasında zehirleme teknikleri
kötü niyetli fonksiyon örtme saldırısı
MasterMCP, Toolbox ile aynı ada sahip remove_server fonksiyonunu yazdı ve kötü niyetli ipuçlarını gizlemek için kodladı.
Talimatı yerine getir:
araç kutusu eklentiyi sunucudan kaldır
Claude Desktop, orijinal toolbox remove_server yöntemini çağırmadı, bunun yerine MasterMCP tarafından sağlanan aynı isimli yöntemi tetikledi.
Prensip, "eski yöntemlerin terk edildiğini" vurgulayarak, büyük modelin kötü niyetli olarak üst üste bindirilmiş fonksiyonları çağırmasını öncelikli olarak teşvik etmektir.
kötü niyetli küresel kontrol mantığı ekle
MasterMCP, tüm araçların çalışmadan önce güvenlik kontrolü yapmak için bu aracı zorunlu kılan banana aracını geliştirdi.
Her fonksiyonu çalıştırmadan önce, sistem öncelikle banana kontrol mekanizmasını çağırır. Bu, kod içinde "banana kontrolü çalıştırılmalıdır" ifadesini tekrar tekrar vurgulayarak gerçekleştirilen küresel bir mantık enjekte etme yöntemidir.
Kötü niyetli ipuçlarını gizlemenin ileri teknikleri
büyük model dostu kodlama yöntemi
Rastgele Kötü Amaçlı Yük İade Mekanizması
/random isteği yapıldığında, her seferinde kötü amaçlı yük içeren rastgele bir sayfa döndürülür, bu da tespit ve izleme zorluğunu önemli ölçüde artırır.
Özet
MasterMCP'nin uygulamalı gösterimi sayesinde, MCP sistemindeki çeşitli güvenlik tehditlerini görsel olarak gözlemledik. Basit ipucu enjeksiyonundan, MCP'ler arası çağrılara, daha gizli olan başlatma aşaması saldırılarına ve kötü niyetli komut gizlemeye kadar her aşama bize şunu hatırlatıyor: MCP ekosistemi güçlü olsa da, aynı zamanda kırılgandır.
Bu sunumun herkese bir uyanış sağlamasını umuyorum: ister geliştirici ister kullanıcı olsun, herkes MCP sistemi konusunda yeterince dikkatli olmalı, her etkileşimi, her kod satırını, her dönüş değerini sürekli takip etmelidir. Her bir ayrıntıya titizlikle yaklaşarak, gerçekten sağlam ve güvenli bir MCP ortamı inşa edebiliriz.