Анализ угроз безопасности и методов атак в системе MCP
Система MCP (Model Context Protocol) в настоящее время находится на ранней стадии развития, общая обстановка довольно хаотична, и различные потенциальные способы атак появляются один за другим, существующие протоколы и инструменты не могут эффективно защититься. Для повышения безопасности MCP был разработан инструмент с открытым исходным кодом под названием MasterMCP, целью которого является выявление уязвимостей в дизайне продукта через реальные атаки, тем самым постепенно укрепляя проект MCP.
В данной статье будет рассмотрен список проверок безопасности MCP и глубоко исследованы распространенные способы атак в рамках системы MCP, такие как информационное отравление и скрытые вредоносные команды, а также реальные примеры. Все демонстрационные скрипты открыты, читатели могут воспроизвести весь процесс в безопасной среде, а также разработать свои собственные плагины для тестирования атак.
Обзор общей архитектуры
Демонстрационная атака на цель MCP: Toolbox
Выбор Toolbox в качестве тестируемой цели основан на следующих соображениях:
Базовая аудитория пользователей велика и представляет собой репрезентативную выборку.
Поддержка автоматической установки других плагинов, дополнение некоторых функций клиента
Содержит конфиденциальные настройки, удобно для демонстрации
демонстрационное использование злонамеренного MC: MasterMC
MasterMCP — это инструмент для моделирования вредоносных MCP, специально разработанный для безопасного тестирования, использующий модульную архитектуру и содержащий следующие ключевые модули:
Локальное моделирование веб-сервисов: создание простого HTTP-сервера с использованием фреймворка FastAPI для имитации обычной веб-страничной среды. Эти страницы выглядят нормально, но на самом деле в исходном коде или возвращаемых интерфейсах скрыты тщательно спроектированные вредоносные нагрузки.
Локальная плагинная архитектура MCP: расширение с использованием плагинов, что позволяет быстро добавлять новые методы атак в будущем. После запуска MasterMCP будет запускать службу FastAPI в дочернем процессе.
демонстрационный клиент
Cursor: Один из наиболее популярных в мире IDE для программирования с поддержкой ИИ.
Claude Desktop: Официальный клиент для настройки протокола MCP
демонстрационная модель использования
Выберите версию Claude 3.7, так как в ней уже наблюдаются некоторые улучшения в распознавании чувствительных операций, а также она представляет собой довольно сильные операционные возможности в текущей экосистеме MCP.
Cross-MCP злонамеренный вызов
Данная демонстрация содержит два содержания: отравление и злонамеренные вызовы Cross-MCP.
атака на веб-контент с подменой
Комментарийный инъекционный вредоносный код
Доступ к локальному тестовому сайту через Cursor, моделируя воздействие доступа клиента к большому модели на вредоносный сайт. В исходном коде вредоносные подсказки внедрены в виде HTML-комментариев. Хотя способ комментариев довольно прямолинеен, он уже может вызвать вредоносные действия.
Кодирующие комментарии для отравления
Посещение закодированной вредоносной веб-страницы делает эксплойт более скрытным, и даже при просмотре исходного кода трудно сразу заметить его. Атака по-прежнему успешно выполняется, конкретный принцип будет подробно объяснен в последующих разделах.
Информация о возврате инструментов MCP
В соответствии с инструкциями MasterMCP введите имитационную команду, чтобы инициировать последующие действия демонстрации вредоносного MCP. Как видно, после активации команды клиент вызывает Toolbox через MCP и успешно добавляет новый сервер MCP.
Атака загрязнения через сторонний интерфейс
Демонстрационное уведомление: неважно, является ли MCP злонамеренным или безвредным, при вызове стороннего API, если напрямую возвращать данные стороннего контекста, это может привести к серьезным последствиям.
Технология отравления на этапе инициализации MCP
Эта демонстрация содержит два элемента: инъекцию начальных подсказок и конфликты имен.
атака перекрытия злонамеренной функции
MasterMCP написал инструмент с тем же именем функции, что и Toolbox, и закодировал скрытые вредоносные подсказки. Подчеркивая, что "предыдущий метод устарел", он приоритизирует побуждение большой модели вызывать вредоносную переопределенную функцию.
Добавить логику глобальной проверки на наличие вредоносного кода
MasterMCP разработал инструмент под названием banana, основная функция которого заключается в том, чтобы перед выполнением всех инструментов в подсказках обязательно запускать этот инструмент для проверки безопасности. Это достигается путем повторного подчеркивания "должен запуститься banana для проверки" для реализации глобальной логической инъекции.
Продвинутые техники скрытия злонамеренных подсказок
Дружественный к большим моделям способ кодирования
Использование мощных возможностей больших языковых моделей для скрытия вредоносной информации в многоязычных форматах, часто применяемые методы включают:
Английская среда: использование кодировки Hex Byte
Китайская среда: использование кодировки NCR или кодирования JavaScript
Механизм возврата случайной вредоносной нагрузки
Каждый запрос случайным образом возвращает страницу с вредоносной нагрузкой, что значительно увеличивает сложность обнаружения и отслеживания.
https://img-cdn.gateio.im/webp-social/moments-bf6d8976b54bebbec34699753f4dbb70.webp(
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
9 Лайков
Награда
9
4
Поделиться
комментарий
0/400
rekt_but_vibing
· 16ч назад
Ну, тогда просто умри.
Посмотреть ОригиналОтветить0
RooftopReserver
· 16ч назад
С первого взгляда ощущается уязвимость безопасности
Посмотреть ОригиналОтветить0
ForkYouPayMe
· 17ч назад
Приходите в эту ловушку, кто не сможет? Советую вам не попадаться.
Раскрытие экологических рисков MCP: полный анализ от отравления до атак Cross-MCP
Анализ угроз безопасности и методов атак в системе MCP
Система MCP (Model Context Protocol) в настоящее время находится на ранней стадии развития, общая обстановка довольно хаотична, и различные потенциальные способы атак появляются один за другим, существующие протоколы и инструменты не могут эффективно защититься. Для повышения безопасности MCP был разработан инструмент с открытым исходным кодом под названием MasterMCP, целью которого является выявление уязвимостей в дизайне продукта через реальные атаки, тем самым постепенно укрепляя проект MCP.
В данной статье будет рассмотрен список проверок безопасности MCP и глубоко исследованы распространенные способы атак в рамках системы MCP, такие как информационное отравление и скрытые вредоносные команды, а также реальные примеры. Все демонстрационные скрипты открыты, читатели могут воспроизвести весь процесс в безопасной среде, а также разработать свои собственные плагины для тестирования атак.
Обзор общей архитектуры
Демонстрационная атака на цель MCP: Toolbox
Выбор Toolbox в качестве тестируемой цели основан на следующих соображениях:
демонстрационное использование злонамеренного MC: MasterMC
MasterMCP — это инструмент для моделирования вредоносных MCP, специально разработанный для безопасного тестирования, использующий модульную архитектуру и содержащий следующие ключевые модули:
Локальное моделирование веб-сервисов: создание простого HTTP-сервера с использованием фреймворка FastAPI для имитации обычной веб-страничной среды. Эти страницы выглядят нормально, но на самом деле в исходном коде или возвращаемых интерфейсах скрыты тщательно спроектированные вредоносные нагрузки.
Локальная плагинная архитектура MCP: расширение с использованием плагинов, что позволяет быстро добавлять новые методы атак в будущем. После запуска MasterMCP будет запускать службу FastAPI в дочернем процессе.
демонстрационный клиент
демонстрационная модель использования
Выберите версию Claude 3.7, так как в ней уже наблюдаются некоторые улучшения в распознавании чувствительных операций, а также она представляет собой довольно сильные операционные возможности в текущей экосистеме MCP.
Cross-MCP злонамеренный вызов
Данная демонстрация содержит два содержания: отравление и злонамеренные вызовы Cross-MCP.
атака на веб-контент с подменой
Доступ к локальному тестовому сайту через Cursor, моделируя воздействие доступа клиента к большому модели на вредоносный сайт. В исходном коде вредоносные подсказки внедрены в виде HTML-комментариев. Хотя способ комментариев довольно прямолинеен, он уже может вызвать вредоносные действия.
Посещение закодированной вредоносной веб-страницы делает эксплойт более скрытным, и даже при просмотре исходного кода трудно сразу заметить его. Атака по-прежнему успешно выполняется, конкретный принцип будет подробно объяснен в последующих разделах.
В соответствии с инструкциями MasterMCP введите имитационную команду, чтобы инициировать последующие действия демонстрации вредоносного MCP. Как видно, после активации команды клиент вызывает Toolbox через MCP и успешно добавляет новый сервер MCP.
Атака загрязнения через сторонний интерфейс
Демонстрационное уведомление: неважно, является ли MCP злонамеренным или безвредным, при вызове стороннего API, если напрямую возвращать данные стороннего контекста, это может привести к серьезным последствиям.
Технология отравления на этапе инициализации MCP
Эта демонстрация содержит два элемента: инъекцию начальных подсказок и конфликты имен.
атака перекрытия злонамеренной функции
MasterMCP написал инструмент с тем же именем функции, что и Toolbox, и закодировал скрытые вредоносные подсказки. Подчеркивая, что "предыдущий метод устарел", он приоритизирует побуждение большой модели вызывать вредоносную переопределенную функцию.
Добавить логику глобальной проверки на наличие вредоносного кода
MasterMCP разработал инструмент под названием banana, основная функция которого заключается в том, чтобы перед выполнением всех инструментов в подсказках обязательно запускать этот инструмент для проверки безопасности. Это достигается путем повторного подчеркивания "должен запуститься banana для проверки" для реализации глобальной логической инъекции.
Продвинутые техники скрытия злонамеренных подсказок
Дружественный к большим моделям способ кодирования
Использование мощных возможностей больших языковых моделей для скрытия вредоносной информации в многоязычных форматах, часто применяемые методы включают:
Механизм возврата случайной вредоносной нагрузки
Каждый запрос случайным образом возвращает страницу с вредоносной нагрузкой, что значительно увеличивает сложность обнаружения и отслеживания.
https://img-cdn.gateio.im/webp-social/moments-bf6d8976b54bebbec34699753f4dbb70.webp(