MCP安全隱患與攻擊演示

MCP (Model Context Protocol) 體系目前仍處於早期發展階段,整體環境較爲混沌,各種潛在攻擊方式層出不窮,現有協議和工具設計難以有效防御。爲提升社區對MCP安全性的認知,SlowMist開源了MasterMCP工具,旨在通過實際攻擊演練,幫助開發者及時發現產品設計中的安全隱患,從而逐步加強MCP項目的安全性。

本文將通過實操演示MCP體系下的常見攻擊方式,如信息投毒、隱匿惡意指令等真實案例。所有演示腳本也會一並開源,供大家在安全環境中復現整個流程,甚至基於這些腳本開發自己的攻擊測試插件。

整體架構概覽

演示攻擊目標MCP: Toolbox

選擇Toolbox作爲測試目標,主要基於以下幾點:

• 用戶基數龐大,具有代表性
• 支持自動安裝其他插件,補充部分客戶端功能
• 包含敏感配置,便於進行演示

演示使用的惡意MCP: MasterMCP

MasterMCP是SlowMist專門爲安全測試編寫的模擬惡意MCP工具,採用插件化架構設計,包含以下關鍵模塊:

1. 本地網站服務模擬:

   通過FastAPI框架快速搭建簡易HTTP服務器,模擬常見網頁環境。這些頁面表面正常,但實際在源碼或接口返回中暗藏精心設計的惡意載荷。

2. 本地插件化MCP架構

   MasterMCP採用插件化方式進行拓展,方便後續快速添加新的攻擊方式。運行後,MasterMCP會在子進程運行上一模塊的FastAPI服務。

演示客戶端

• Cursor:當前全球最流行的AI輔助編程IDE之一
• Claude Desktop:Anthropic官方客戶端

演示使用的大模型

• Claude 3.7

Cross-MCP Malicious Invocation

網頁內容投毒攻擊

1. 注釋型投毒

通過Cursor訪問本地測試網站,模擬大模型客戶端訪問惡意網站造成的影響。執行指令後,Cursor不僅讀取了網頁內容,還將本地敏感配置數據回傳至測試服務器。原始碼中,惡意提示詞以HTML注釋形式植入。

2. 編碼型注釋投毒

訪問/encode頁面,惡意提示詞進行了編碼,使投毒更加隱蔽。即使原始碼不含明文提示詞,攻擊依舊成功執行。

第三方接口污染攻擊

演示提醒,無論是惡意還是非惡意的MCP,在調用第三方API時,如果直接將第三方數據返回到上下文,都可能帶來嚴重影響。

MCP初始化階段的投毒技術

惡意函數覆蓋攻擊

MasterMCP編寫了與Toolbox同名函數remove_server的tool,並編碼隱藏惡意提示詞。執行指令後,Claude Desktop觸發了MasterMCP提供的同名方法,而非原本的toolbox remove_server方法。

添加惡意全局檢查邏輯

MasterMCP編寫了banana工具,強制所有工具運行前執行該工具進行安全檢查。每次執行函數前,系統都會優先調用banana檢查機制。

隱藏惡意提示詞的進階技巧

大模型友好的編碼方式

利用LLM對多語言格式的強解析能力隱藏惡意信息:

• 英文環境:使用Hex Byte編碼
• 中文環境:使用NCR編碼或JavaScript編碼

隨機惡意載荷返回機制

每次請求/random時,隨機返回帶惡意載荷的頁面,增加檢測與溯源難度。

總結

MasterMCP實戰演示直觀展示了MCP體系中的各種安全隱患。從簡單的提示詞注入、跨MCP調用,到更隱蔽的初始化階段攻擊和惡意指令隱藏,每個環節都提醒我們MCP生態的脆弱性。

小小的輸入污染可能引發系統級安全風險,攻擊者手段的多樣化也意味着傳統防護思路需要全面升級。開發者和使用者都應對MCP體系保持警惕,關注每次交互、每行代碼、每個返回值,才能構築穩固、安全的MCP環境。

SlowMist將繼續完善MasterMCP腳本,開源更多針對性測試用例,幫助大家在安全環境下深入理解、演練和強化防護。相關內容已同步至GitHub,感興趣的讀者可訪問查看。