MCP ( نموذج بروتوكول السياق) لا يزال النظام في مرحلة التطوير المبكرة، والبيئة العامة فوضوية نوعًا ما، وتظهر أنواع هجمات محتملة متنوعة، مما يجعل تصميم البروتوكولات والأدوات الحالية من الصعب الدفاع بفاعلية. لزيادة وعي المجتمع بأمان MCP، أطلقت SlowMist أداة MasterMCP مفتوحة المصدر، والتي تهدف من خلال عمليات محاكاة الهجوم الفعلية إلى مساعدة المطورين في اكتشاف نقاط الضعف الأمنية في تصميم المنتجات في الوقت المناسب، مما يعزز تدريجياً أمان مشروع MCP.
ستقوم هذه المقالة بعرض طرق الهجوم الشائعة ضمن نظام MCP من خلال عرض عملي، مثل تسميم المعلومات، وإخفاء التعليمات الضارة، وغيرها من الحالات الحقيقية. كما سيتم فتح مصدر جميع نصوص العرض، لتمكين الجميع من إعادة إنتاج العملية الكاملة في بيئة آمنة، وحتى تطوير ملحقات اختبار الهجوم الخاصة بهم بناءً على هذه النصوص.
نظرة عامة على الهيكل العام
عرض هدف الهجوم MCP: Toolbox
اختر Toolbox كهدف للاختبار، بناءً على النقاط التالية:
قاعدة المستخدمين كبيرة وتمثل الشريحة
يدعم التثبيت التلقائي لمكونات إضافية أخرى، مما يكمل بعض ميزات العميل.
يحتوي على تكوينات حساسة, مما يسهل العرض
عرض استخدام البرامج الضارة MCP: MasterMCP
MasterMCP هو أداة محاكاة خبيثة لـ MCP تم تطويرها بواسطة SlowMist للاختبار الأمني، وتستخدم تصميم بنية قائمة على المكونات، وتتضمن الوحدات الأساسية التالية:
خدمة المواقع المحلية المحاكاة:
من خلال إطار FastAPI لبناء خادم HTTP بسيط بسرعة، لمحاكاة بيئة صفحات الويب الشائعة. هذه الصفحات تبدو طبيعية، لكن في الواقع تحتوي على حمولة ضارة مصممة بعناية في الشيفرة المصدرية أو في الاستجابة.
هيكل MCP القائم على المكونات المحلية
يستخدم MasterMCP طريقة الإضافات للتوسع، مما يسهل إضافة أساليب هجوم جديدة بسرعة في المستقبل. بعد التشغيل، سيقوم MasterMCP بتشغيل خدمة FastAPI الخاصة بالوحدة السابقة في عملية فرعية.
! [القتال الفعلي: التسمم السري والتلاعب في نظام MCP](https://img-cdn.gateio.im/webp-social/moments-3c65fb78f3a1d00f05d6f3d950931f1f.webp019283746574839201
) عميل العرض
Cursor: واحدة من أكثر بيئات تطوير البرمجيات المدعومة بالذكاء الاصطناعي شيوعًا في العالم
Claude Desktop: عميل Anthropic الرسمي
نموذج كبير للاستخدام في العرض
كلود 3.7
استدعاء ضار عبر MCP
هجوم حقن المحتوى على الويب
نوع التعليق للتسمم
الوصول إلى موقع الاختبار المحلي عبر Cursor، لمحاكاة تأثير زيارة عميل نموذج كبير لموقع ضار. بعد تنفيذ الأوامر، لم تقم Cursor بقراءة محتوى الصفحة فحسب، بل أرسلت أيضًا بيانات التكوين الحساسة المحلية إلى خادم الاختبار. في شفرة المصدر، تم زرع الكلمات التحذيرية الضارة على شكل تعليقات HTML.
! [القتال الفعلي: التسمم السري والتلاعب في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-2fe451755dc3588ffc2ddbd7427dcf9b.webp(
هجمات التسمية المشفرة
زيارة صفحة /encode, تم تشفير كلمات التحذير الخبيثة، مما يجعل التسميم أكثر خفاءً. حتى لو لم يحتوي الشيفرة المصدرية على كلمات تحذير واضحة، فإن الهجوم لا يزال ينفذ بنجاح.
![الانطلاق العملي: التسميم الخفي والتحكم في نظام MCP])https://img-cdn.gateio.im/webp-social/moments-0ebb45583f5d7c2e4a4b792a0bdc989d.webp(
) هجوم تلوث واجهة الطرف الثالث
تذكير العرض، سواء كانت MCP ضارة أو غير ضارة، عند استدعاء واجهة برمجة التطبيقات الخاصة بالجهات الخارجية، إذا تم إرجاع بيانات الجهات الخارجية مباشرة إلى السياق، فقد يؤدي ذلك إلى تأثيرات خطيرة.
![الانطلاق العملي: التسميم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-3840e36661d61bbb0dcee6d5cf38d376.webp(
تقنية التسمم في مرحلة إعداد MCP
) هجوم تغطية الدالة الخبيثة
كتب MasterMCP أداة remove_server التي تحمل نفس اسم الدالة Toolbox، وقام بترميز كلمات التحذير الخبيثة. بعد تنفيذ التعليمات، قام Claude Desktop بتفعيل الطريقة التي قدمها MasterMCP بنفس الاسم، بدلاً من الطريقة الأصلية toolbox remove_server.
![الانطلاق في الممارسة: التسمم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-33ec895deae947ebc284e846286ccf1c.webp(
) إضافة منطق فحص عالمي ضار
قام MasterMCP بكتابة أداة banana، مما يجبر جميع الأدوات على تنفيذ هذه الأداة لإجراء الفحص الأمني قبل التشغيل. قبل كل تنفيذ لوظيفة، سيقوم النظام بالاتصال بآلية الفحص banana كأولوية.
![الانطلاق العملي: التسميم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-e16c8d753ef00ec06f0bf607dc188446.webp(
تقنيات متقدمة لإخفاء الكلمات الدلالية الضارة
) طريقة ترميز صديقة للنماذج الكبيرة
استغلال القدرة العالية على تحليل التنسيقات متعددة اللغات لـ LLM لإخفاء المعلومات الضارة:
البيئة الإنجليزية: استخدام ترميز Hex Byte
البيئة الصينية: استخدم ترميز NCR أو ترميز JavaScript
![الانطلاق من الممارسة: التسميم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-3e15b74bbdc0154ed8505c04345c4deb.webp(
) آلية إرجاع الحمولة الخبيثة العشوائية
في كل مرة يتم فيها طلب /random، يتم إرجاع صفحة تحتوي على تحميل ضار بشكل عشوائي، مما يزيد من صعوبة الكشف والتتبع.
![انطلاق من الممارسة: التسميم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-cd87a6781e74c267c89e99e398e7499c.webp(
ملخص
تظهر العروض العملية لـ MasterMCP بشكل مباشر مجموعة من المخاطر الأمنية في نظام MCP. من حقن كلمات التنبيه البسيطة، إلى استدعاءات MCP المتقاطعة، وصولاً إلى الهجمات في مرحلة التهيئة الأكثر سرية وإخفاء التعليمات الخبيثة، تذكرنا كل خطوة بضعف نظام MCP.
يمكن أن تؤدي التلوث القليل في المدخلات إلى مخاطر أمان على مستوى النظام، كما أن تنوع أساليب المهاجمين يعني أن أفكار الحماية التقليدية تحتاج إلى ترقية شاملة. يجب على المطورين والمستخدمين أن يظلوا يقظين تجاه نظام MCP، والتركيز على كل تفاعل، وكل سطر من الشفرة، وكل قيمة عائدة، لبناء بيئة MCP متينة وآمنة.
ستواصل SlowMist تحسين نص MasterMCP، وفتح المزيد من حالات الاختبار المستهدفة، لمساعدة الجميع على فهم وتعزيز الحماية في بيئة آمنة. تم مزامنة المحتوى ذي الصلة إلى GitHub، يمكن للقراء المهتمين زيارة الموقع للاطلاع.
![الانطلاق في العمل: التسمم الخفي والتحكم في نظام MCP])https://img-cdn.gateio.im/webp-social/moments-c5a25d6fa43a286a07b6a57c1a3f9605.webp(
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 17
أعجبني
17
8
مشاركة
تعليق
0/400
OffchainWinner
· 07-18 07:06
ها، رينباو بايماو با با دو
شاهد النسخة الأصليةرد0
CafeMinor
· 07-18 05:32
لا يوجد حتى جدار حماية في الأنابيب؟
شاهد النسخة الأصليةرد0
GateUser-a5fa8bd0
· 07-18 00:25
笑死 又是 احترافي的圈子
شاهد النسخة الأصليةرد0
WalletManager
· 07-15 07:59
الهجمات التدريبية ماذا عن تدقيق العقود، هل يمكن اكتشاف المشاكل الحقيقية؟
شاهد النسخة الأصليةرد0
TokenomicsTherapist
· 07-15 07:58
آيما، هذه المشكلة المتعلقة بـ mcp أكثر خطورة مما كنت أتصور.
شاهد النسخة الأصليةرد0
ResearchChadButBroke
· 07-15 07:56
لا يمكنني رؤيته. أي عصر هذا، لا يزال هناك ثغرات مخفية.
شاهد النسخة الأصليةرد0
CryptoCross-TalkClub
· 07-15 07:56
أداة جديدة لخداع الناس لتحقيق الربح للحمقى أخيراً أصبحت متاحة؟
كشف ثغرات أمان MCP: عرض الهجمات واستراتيجيات الحماية
MCP الثغرات الأمنية وعروض الهجوم
MCP ( نموذج بروتوكول السياق) لا يزال النظام في مرحلة التطوير المبكرة، والبيئة العامة فوضوية نوعًا ما، وتظهر أنواع هجمات محتملة متنوعة، مما يجعل تصميم البروتوكولات والأدوات الحالية من الصعب الدفاع بفاعلية. لزيادة وعي المجتمع بأمان MCP، أطلقت SlowMist أداة MasterMCP مفتوحة المصدر، والتي تهدف من خلال عمليات محاكاة الهجوم الفعلية إلى مساعدة المطورين في اكتشاف نقاط الضعف الأمنية في تصميم المنتجات في الوقت المناسب، مما يعزز تدريجياً أمان مشروع MCP.
ستقوم هذه المقالة بعرض طرق الهجوم الشائعة ضمن نظام MCP من خلال عرض عملي، مثل تسميم المعلومات، وإخفاء التعليمات الضارة، وغيرها من الحالات الحقيقية. كما سيتم فتح مصدر جميع نصوص العرض، لتمكين الجميع من إعادة إنتاج العملية الكاملة في بيئة آمنة، وحتى تطوير ملحقات اختبار الهجوم الخاصة بهم بناءً على هذه النصوص.
نظرة عامة على الهيكل العام
عرض هدف الهجوم MCP: Toolbox
اختر Toolbox كهدف للاختبار، بناءً على النقاط التالية:
عرض استخدام البرامج الضارة MCP: MasterMCP
MasterMCP هو أداة محاكاة خبيثة لـ MCP تم تطويرها بواسطة SlowMist للاختبار الأمني، وتستخدم تصميم بنية قائمة على المكونات، وتتضمن الوحدات الأساسية التالية:
خدمة المواقع المحلية المحاكاة:
من خلال إطار FastAPI لبناء خادم HTTP بسيط بسرعة، لمحاكاة بيئة صفحات الويب الشائعة. هذه الصفحات تبدو طبيعية، لكن في الواقع تحتوي على حمولة ضارة مصممة بعناية في الشيفرة المصدرية أو في الاستجابة.
هيكل MCP القائم على المكونات المحلية
يستخدم MasterMCP طريقة الإضافات للتوسع، مما يسهل إضافة أساليب هجوم جديدة بسرعة في المستقبل. بعد التشغيل، سيقوم MasterMCP بتشغيل خدمة FastAPI الخاصة بالوحدة السابقة في عملية فرعية.
! [القتال الفعلي: التسمم السري والتلاعب في نظام MCP](https://img-cdn.gateio.im/webp-social/moments-3c65fb78f3a1d00f05d6f3d950931f1f.webp019283746574839201
) عميل العرض
نموذج كبير للاستخدام في العرض
استدعاء ضار عبر MCP
هجوم حقن المحتوى على الويب
الوصول إلى موقع الاختبار المحلي عبر Cursor، لمحاكاة تأثير زيارة عميل نموذج كبير لموقع ضار. بعد تنفيذ الأوامر، لم تقم Cursor بقراءة محتوى الصفحة فحسب، بل أرسلت أيضًا بيانات التكوين الحساسة المحلية إلى خادم الاختبار. في شفرة المصدر، تم زرع الكلمات التحذيرية الضارة على شكل تعليقات HTML.
! [القتال الفعلي: التسمم السري والتلاعب في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-2fe451755dc3588ffc2ddbd7427dcf9b.webp(
زيارة صفحة /encode, تم تشفير كلمات التحذير الخبيثة، مما يجعل التسميم أكثر خفاءً. حتى لو لم يحتوي الشيفرة المصدرية على كلمات تحذير واضحة، فإن الهجوم لا يزال ينفذ بنجاح.
![الانطلاق العملي: التسميم الخفي والتحكم في نظام MCP])https://img-cdn.gateio.im/webp-social/moments-0ebb45583f5d7c2e4a4b792a0bdc989d.webp(
) هجوم تلوث واجهة الطرف الثالث
تذكير العرض، سواء كانت MCP ضارة أو غير ضارة، عند استدعاء واجهة برمجة التطبيقات الخاصة بالجهات الخارجية، إذا تم إرجاع بيانات الجهات الخارجية مباشرة إلى السياق، فقد يؤدي ذلك إلى تأثيرات خطيرة.
![الانطلاق العملي: التسميم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-3840e36661d61bbb0dcee6d5cf38d376.webp(
تقنية التسمم في مرحلة إعداد MCP
) هجوم تغطية الدالة الخبيثة
كتب MasterMCP أداة remove_server التي تحمل نفس اسم الدالة Toolbox، وقام بترميز كلمات التحذير الخبيثة. بعد تنفيذ التعليمات، قام Claude Desktop بتفعيل الطريقة التي قدمها MasterMCP بنفس الاسم، بدلاً من الطريقة الأصلية toolbox remove_server.
![الانطلاق في الممارسة: التسمم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-33ec895deae947ebc284e846286ccf1c.webp(
) إضافة منطق فحص عالمي ضار
قام MasterMCP بكتابة أداة banana، مما يجبر جميع الأدوات على تنفيذ هذه الأداة لإجراء الفحص الأمني قبل التشغيل. قبل كل تنفيذ لوظيفة، سيقوم النظام بالاتصال بآلية الفحص banana كأولوية.
![الانطلاق العملي: التسميم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-e16c8d753ef00ec06f0bf607dc188446.webp(
تقنيات متقدمة لإخفاء الكلمات الدلالية الضارة
) طريقة ترميز صديقة للنماذج الكبيرة
استغلال القدرة العالية على تحليل التنسيقات متعددة اللغات لـ LLM لإخفاء المعلومات الضارة:
![الانطلاق من الممارسة: التسميم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-3e15b74bbdc0154ed8505c04345c4deb.webp(
) آلية إرجاع الحمولة الخبيثة العشوائية
في كل مرة يتم فيها طلب /random، يتم إرجاع صفحة تحتوي على تحميل ضار بشكل عشوائي، مما يزيد من صعوبة الكشف والتتبع.
![انطلاق من الممارسة: التسميم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-cd87a6781e74c267c89e99e398e7499c.webp(
ملخص
تظهر العروض العملية لـ MasterMCP بشكل مباشر مجموعة من المخاطر الأمنية في نظام MCP. من حقن كلمات التنبيه البسيطة، إلى استدعاءات MCP المتقاطعة، وصولاً إلى الهجمات في مرحلة التهيئة الأكثر سرية وإخفاء التعليمات الخبيثة، تذكرنا كل خطوة بضعف نظام MCP.
يمكن أن تؤدي التلوث القليل في المدخلات إلى مخاطر أمان على مستوى النظام، كما أن تنوع أساليب المهاجمين يعني أن أفكار الحماية التقليدية تحتاج إلى ترقية شاملة. يجب على المطورين والمستخدمين أن يظلوا يقظين تجاه نظام MCP، والتركيز على كل تفاعل، وكل سطر من الشفرة، وكل قيمة عائدة، لبناء بيئة MCP متينة وآمنة.
ستواصل SlowMist تحسين نص MasterMCP، وفتح المزيد من حالات الاختبار المستهدفة، لمساعدة الجميع على فهم وتعزيز الحماية في بيئة آمنة. تم مزامنة المحتوى ذي الصلة إلى GitHub، يمكن للقراء المهتمين زيارة الموقع للاطلاع.
![الانطلاق في العمل: التسمم الخفي والتحكم في نظام MCP])https://img-cdn.gateio.im/webp-social/moments-c5a25d6fa43a286a07b6a57c1a3f9605.webp(