Demonstração de Vulnerabilidades e Ataques do MCP

MCP (Model Context Protocol) O sistema ainda está em estágio inicial de desenvolvimento, e o ambiente geral é bastante caótico, com várias formas potenciais de ataque surgindo constantemente, tornando difícil a defesa eficaz com os protocolos e ferramentas existentes. Para aumentar a conscientização da comunidade sobre a segurança do MCP, a SlowMist open-sourced a ferramenta MasterMCP, com o objetivo de ajudar os desenvolvedores a identificar prontamente as vulnerabilidades de segurança no design do produto por meio de simulações de ataques reais, assim fortalecendo gradualmente a segurança do projeto MCP.

Este artigo irá demonstrar na prática as formas comuns de ataque sob o sistema MCP, como envenenamento de informações, ocultação de instruções maliciosas e outros casos reais. Todos os scripts de demonstração também serão disponibilizados como código aberto, para que todos possam reproduzir todo o processo em um ambiente seguro, e até mesmo desenvolver seus próprios plugins de teste de ataque com base nesses scripts.

Visão Geral da Arquitetura Geral

Demonstração do alvo do ataque MCP: Toolbox

Escolha o Toolbox como alvo de teste, principalmente com base nos seguintes pontos:

• A base de usuários é enorme e representativa
• Suporte para instalação automática de outros plugins, complementando algumas funcionalidades do cliente.
• Inclui configurações sensíveis, facilitando a demonstração

Demonstração de uso do MCP malicioso: MasterMCP

MasterMCP é uma ferramenta de simulação de MCP malicioso desenvolvida pela SlowMist para testes de segurança, com design de arquitetura modular, incluindo os seguintes módulos principais:

1. Simulação de serviços de sites locais:

   Usando o framework FastAPI para construir rapidamente um servidor HTTP simples, simulando um ambiente de página web comum. Estas páginas parecem normais, mas na verdade contêm cargas maliciosas cuidadosamente projetadas no código-fonte ou nas respostas da interface.

2. Arquitetura MCP plugin local

   MasterMCP utiliza uma abordagem modular para expansão, facilitando a adição rápida de novas formas de ataque. Após a execução, o MasterMCP irá executar o serviço FastAPI do módulo anterior em um subprocesso.

Cliente de Demonstração

• Cursor: uma das IDEs de programação assistida por IA mais populares do mundo
• Claude Desktop: Cliente oficial da Anthropic

modelo grande usado para demonstração

• Claude 3.7

Invocação Maliciosa Cross-MCP

ataque de envenenamento de conteúdo na web

1. Injeção de comentários

Aceder ao site de testes local através do Cursor, simulando o impacto de um cliente de grande modelo a aceder a um site malicioso. Após a execução do comando, o Cursor não apenas leu o conteúdo da página, mas também enviou de volta dados de configuração sensíveis locais para o servidor de testes. No código fonte, as palavras-chave maliciosas estão inseridas na forma de comentários HTML.

2. Injeção de comentários codificados

Acesse a página /encode, as palavras-chave maliciosas foram codificadas, tornando a injeção mais oculta. Mesmo que o código-fonte não contenha palavras-chave em texto claro, o ataque ainda é executado com sucesso.

ataque de poluição de interface de terceiros

Lembrete de demonstração, independentemente de ser MCP malicioso ou não malicioso, ao chamar uma API de terceiros, se os dados de terceiros forem retornados diretamente ao contexto, isso pode ter sérias consequências.

Técnica de envenenamento na fase de inicialização do MC

ataque de sobreposição de função maliciosa

MasterMCP escreveu uma ferramenta chamada remove_server, que tem o mesmo nome que a função Toolbox, e codificou palavras-chave maliciosas ocultas. Após executar o comando, o Claude Desktop acionou o método com o mesmo nome fornecido por MasterMCP, em vez do método remove_server original do toolbox.

Adicionar lógica de verificação global maliciosa

O MasterMCP escreveu a ferramenta banana, obrigando todas as ferramentas a executarem esta ferramenta para uma verificação de segurança antes de funcionar. Antes de cada execução de função, o sistema chamará prioritariamente o mecanismo de verificação banana.

Dicas Avançadas para Ocultar Palavras de Aviso Maliciosas

forma de codificação amigável para grandes modelos

Utilizando a forte capacidade de análise de formatos multilíngues do LLM para ocultar informações maliciosas:

• Ambiente em inglês: usar codificação Hex Byte
• Ambiente em chinês: usar codificação NCR ou codificação JavaScript

Mecanismo de retorno de carga maliciosa aleatória

Em cada requisição /random, retorna aleatoriamente uma página com carga maliciosa, aumentando a dificuldade de detecção e rastreamento.

Resumo

A demonstração prática do MasterMCP apresenta de forma intuitiva os diversos riscos de segurança no sistema MCP. Desde a injeção de palavras-chave simples, chamadas cruzadas de MCP, até ataques mais ocultos na fase de inicialização e ocultação de instruções maliciosas, cada etapa nos alerta sobre a vulnerabilidade do ecossistema MCP.

Pequenas contaminações de entrada podem provocar riscos de segurança em nível de sistema, e a diversificação dos métodos dos atacantes também significa que as abordagens de proteção tradicionais precisam de uma atualização completa. Tanto desenvolvedores quanto usuários devem manter vigilância sobre o sistema MCP, prestando atenção a cada interação, cada linha de código e cada valor retornado, para construir um ambiente MCP sólido e seguro.

A SlowMist continuará a melhorar o script MasterMCP, abrindo mais casos de teste específicos para ajudar todos a entender, praticar e reforçar a proteção em um ambiente seguro. O conteúdo relacionado já foi sincronizado no GitHub, os leitores interessados podem visitar para verificar.