MCP ( نموذج بروتوكول السياق) النظام الحالي في مرحلة التطوير المبكر، والبيئة العامة غير مستقرة، وتظهر طرق هجوم محتملة متنوعة، مما يجعل تصميم البروتوكولات والأدوات الحالية غير قادر على الدفاع بفعالية. لتعزيز أمان MCP، قامت شركة Slow Mist بإطلاق أداة MasterMCP كمصدر مفتوح، تهدف إلى مساعدة في اكتشاف المخاطر الأمنية في تصميم المنتجات من خلال تنفيذ هجمات فعلية، وتعزيز مشروع MCP تدريجياً.
ستجمع هذه المقالة بين قائمة فحص أمان MCP، وستقود القراء إلى إجراء عملي، حيث ستعرض طرق الهجوم الشائعة تحت نظام MCP، مثل تسميم المعلومات، وإخفاء الأوامر الضارة، وغيرها من الحالات الواقعية. سيتم إصدار جميع سكريبتات العرض كمصدر مفتوح، لتكون متاحة للجميع لإعادة إنتاجها وتطوير ملحقات اختبار الهجوم الخاصة بهم في بيئة آمنة.
نظرة عامة على الهيكل العام
هدف الهجوم التجريبي MCP: Toolbox
Toolbox هو أداة إدارة MCP الرسمية التي أطلقتها أحد مواقع إضافات MCP. اختيار Toolbox كهدف للاختبار يعتمد بشكل أساسي على النقاط التالية:
قاعدة المستخدمين كبيرة وتمثل.
يدعم التثبيت التلقائي للمكونات الإضافية الأخرى، مما يكمل بعض وظائف العميل
يحتوي على إعدادات حساسة، مما يسهل العرض
عرض استخدام الخبيث MCP: MasterMCP
MasterMCP هو أداة محاكاة ضارة لمختبرات الأمن تم تصميمها لاختبار الأمان، ويعتمد على هيكلية مكونة من مكونات قابلة للتخصيص، ويحتوي على الوحدات الرئيسية التالية:
خدمات الموقع المحلي المحاكية: من خلال إطار عمل FastAPI لبناء خادم HTTP بسيط، لمحاكاة بيئة الويب الشائعة. تبدو هذه الصفحات طبيعية، ولكن في الواقع، تحتوي على أحمال خبيثة مصممة بعناية مخفية في الشيفرة المصدرية أو ردود الواجهة.
بنية MCP المعيارية المحلية: تعتمد على طريقة المكونات الإضافية للتوسع، مما يسهل إضافة طرق الهجوم الجديدة بسرعة في المستقبل. بعد التشغيل، سيبدأ MasterMCP خدمة FastAPI في عملية فرعية.
عميل العرض
Cursor: واحدة من IDEs المساعدة في البرمجة المدعومة بالذكاء الاصطناعي الأكثر شعبية في العالم
Claude Desktop: عميل رسمي لشركة معينة
نموذج كبير للاستخدام في العرض
اختر إصدار Claude 3.7 لأنه قد أحرز تحسينات معينة في التعرف على العمليات الحساسة، وهو يمثل أيضًا قدرة تشغيلية قوية في النظام البيئي الحالي لمركز التحكم.
Cross-MCP استدعاء خبيث
هجوم تسميم محتوى الويب
تسميم التعليق
من خلال الوصول إلى موقع الاختبار المحلي، تم محاكاة تأثير وصول عميل النموذج الكبير إلى مواقع الويب الضارة. أظهرت النتائج أن العميل لم يقم فقط بقراءة محتوى الصفحة، بل قام أيضًا بإرسال بيانات التكوين الحساسة المحلية إلى خادم الاختبار. تم تضمين كلمات التحذير الضارة في شكل تعليقات HTML، على الرغم من كونها واضحة نسبيًا، ولكنها قادرة على تحفيز العمليات الضارة.
زيارة صفحات الويب الضارة المشفرة، حتى لو لم يحتوي الشيفرة المصدرية على كلمات دلالية واضحة، لا يزال الهجوم يتم تنفيذه بنجاح. هذه الطريقة تجعل التسميم أكثر خفاءً، مما يصعب اكتشافه مباشرة.
هجوم تلوث واجهة الطرف الثالث
تظهر العروض التوضيحية أنه سواء كانت MCP ضارة أو غير ضارة، فإن استدعاء واجهة برمجة التطبيقات الخارجية وإرجاع بيانات الطرف الثالث مباشرة في السياق قد يكون له تأثيرات خطيرة. يمكن إدخال كلمات رئيسية ضارة في بيانات JSON المسترجعة وتفعيل التنفيذ الضار بنجاح.
تقنيات التسمم في مرحلة تهيئة MCP
هجوم تغطية الدوال الخبيثة
كتب MasterMCP دالة تحمل نفس اسم Toolbox، وقام بتشفير كلمات تحذيرية خبيثة. من خلال التأكيد على "تم إلغاء الطرق الأصلية"، يتم تحفيز النموذج الكبير لاستدعاء الدالة المغطاة الخبيثة بشكل أساسي.
إضافة منطق فحص عالمي ضار
قام MasterMCP بكتابة أداة تجبر جميع الأدوات على تنفيذ الفحص الأمني قبل التشغيل. تم تحقيق حقن المنطق العالمي من خلال التأكيد المتكرر في الكود على "يجب تشغيل الفحص".
استخدام نموذج لغة كبير لإخفاء المعلومات الخبيثة من خلال قدرته على تحليل التنسيقات متعددة اللغات بشكل قوي:
بيئة الإنجليزية: استخدام ترميز Hex Byte
البيئة الصينية: استخدام ترميز NCR أو ترميز JavaScript
آلية إرجاع الحمولة الضارة العشوائية
كل طلب يُرجع صفحة تحتوي على حمولة خبيثة بشكل عشوائي، مما يزيد من صعوبة الكشف والتتبع.
ملخص
تظهر العروض العملية لـ MasterMCP مختلف المخاطر الأمنية في نظام MCP. من حقن الكلمات الرئيسية البسيطة إلى هجمات مرحلة التهيئة الخفية، تذكرنا كل مرحلة بضعف نظام MCP. التفاعلات المتكررة بين النماذج الكبيرة والإضافات الخارجية وواجهات برمجة التطبيقات، تجعل من الممكن أن يؤدي تلوث المدخلات البسيط إلى مخاطر أمنية على مستوى النظام.
إن تنوع أساليب المهاجمين (إخفاء التشفير، التلوث العشوائي، تغطية الدوال) يعني أن التفكير التقليدي في الحماية يحتاج إلى ترقية شاملة. يجب على المطورين والمستخدمين أن يبقوا متيقظين تجاه نظام MCP، والتركيز على كل تفاعل، وكل سطر من الشيفرة، وكل قيمة عائدة. فقط من خلال التعامل بدقة مع التفاصيل، يمكن بناء بيئة MCP مستقرة وآمنة.
سوف نستمر في تحسين برنامج MasterMCP في المستقبل، وإصدار المزيد من حالات الاختبار المستهدفة مفتوحة المصدر، لمساعدة الناس على فهم الموقف بشكل أعمق، والتدرب وتعزيز الحماية في بيئة آمنة.
 and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
تسجيلات الإعجاب 18
أعجبني
18
8
مشاركة
تعليق
0/400
liquidation_surfer
· 07-09 09:11
لا يمكن القفز فوق مسائل الأمان
شاهد النسخة الأصليةرد0
RunWhenCut
· 07-09 07:17
هذا البطيخ يجعلني أرتجف من كل جسدي
شاهد النسخة الأصليةرد0
HashBard
· 07-08 21:03
لذا يوم آخر، ثغرة أمان MCP أخرى... شعر في الفوضى، أليس كذلك؟
شاهد النسخة الأصليةرد0
SatoshiHeir
· 07-06 20:33
لا شك أن الجندي المخضرم الذي قرأ الورقة البيضاء أكثر من 200 مرة قد مرّ، وهذه المقالة تحتوي على العديد من الأخطاء.
شاهد النسخة الأصليةرد0
MetaverseVagabond
· 07-06 20:32
لا تنسخ المنتج، إذا حدث شيء ستدخل السجن
شاهد النسخة الأصليةرد0
failed_dev_successful_ape
· 07-06 20:20
يمكن أن تقتل التفاصيل مشروعًا
شاهد النسخة الأصليةرد0
SchroedingerAirdrop
· 07-06 20:15
هذه الشيفرة غير المتوقعة لا يمكن كتابتها على الإطلاق
شاهد النسخة الأصليةرد0
TokenEconomist
· 07-06 20:11
دعني أوضح ذلك - تتمثل الثغرة الرئيسية في عدم توافق الحوافز في نموذج أمان MCP.
تحليل شامل للمخاطر الأمنية لمشروع MCP: من هجمات التسميم إلى استراتيجيات الدفاع
مناقشة المخاطر الأمنية لنظام MCP وطرق الدفاع عنها
MCP ( نموذج بروتوكول السياق) النظام الحالي في مرحلة التطوير المبكر، والبيئة العامة غير مستقرة، وتظهر طرق هجوم محتملة متنوعة، مما يجعل تصميم البروتوكولات والأدوات الحالية غير قادر على الدفاع بفعالية. لتعزيز أمان MCP، قامت شركة Slow Mist بإطلاق أداة MasterMCP كمصدر مفتوح، تهدف إلى مساعدة في اكتشاف المخاطر الأمنية في تصميم المنتجات من خلال تنفيذ هجمات فعلية، وتعزيز مشروع MCP تدريجياً.
ستجمع هذه المقالة بين قائمة فحص أمان MCP، وستقود القراء إلى إجراء عملي، حيث ستعرض طرق الهجوم الشائعة تحت نظام MCP، مثل تسميم المعلومات، وإخفاء الأوامر الضارة، وغيرها من الحالات الواقعية. سيتم إصدار جميع سكريبتات العرض كمصدر مفتوح، لتكون متاحة للجميع لإعادة إنتاجها وتطوير ملحقات اختبار الهجوم الخاصة بهم في بيئة آمنة.
نظرة عامة على الهيكل العام
هدف الهجوم التجريبي MCP: Toolbox
Toolbox هو أداة إدارة MCP الرسمية التي أطلقتها أحد مواقع إضافات MCP. اختيار Toolbox كهدف للاختبار يعتمد بشكل أساسي على النقاط التالية:
عرض استخدام الخبيث MCP: MasterMCP
MasterMCP هو أداة محاكاة ضارة لمختبرات الأمن تم تصميمها لاختبار الأمان، ويعتمد على هيكلية مكونة من مكونات قابلة للتخصيص، ويحتوي على الوحدات الرئيسية التالية:
خدمات الموقع المحلي المحاكية: من خلال إطار عمل FastAPI لبناء خادم HTTP بسيط، لمحاكاة بيئة الويب الشائعة. تبدو هذه الصفحات طبيعية، ولكن في الواقع، تحتوي على أحمال خبيثة مصممة بعناية مخفية في الشيفرة المصدرية أو ردود الواجهة.
بنية MCP المعيارية المحلية: تعتمد على طريقة المكونات الإضافية للتوسع، مما يسهل إضافة طرق الهجوم الجديدة بسرعة في المستقبل. بعد التشغيل، سيبدأ MasterMCP خدمة FastAPI في عملية فرعية.
عميل العرض
نموذج كبير للاستخدام في العرض
اختر إصدار Claude 3.7 لأنه قد أحرز تحسينات معينة في التعرف على العمليات الحساسة، وهو يمثل أيضًا قدرة تشغيلية قوية في النظام البيئي الحالي لمركز التحكم.
Cross-MCP استدعاء خبيث
هجوم تسميم محتوى الويب
من خلال الوصول إلى موقع الاختبار المحلي، تم محاكاة تأثير وصول عميل النموذج الكبير إلى مواقع الويب الضارة. أظهرت النتائج أن العميل لم يقم فقط بقراءة محتوى الصفحة، بل قام أيضًا بإرسال بيانات التكوين الحساسة المحلية إلى خادم الاختبار. تم تضمين كلمات التحذير الضارة في شكل تعليقات HTML، على الرغم من كونها واضحة نسبيًا، ولكنها قادرة على تحفيز العمليات الضارة.
! القتال الفعلي: التسمم السري والتلاعب في نظام MCP
زيارة صفحات الويب الضارة المشفرة، حتى لو لم يحتوي الشيفرة المصدرية على كلمات دلالية واضحة، لا يزال الهجوم يتم تنفيذه بنجاح. هذه الطريقة تجعل التسميم أكثر خفاءً، مما يصعب اكتشافه مباشرة.
هجوم تلوث واجهة الطرف الثالث
تظهر العروض التوضيحية أنه سواء كانت MCP ضارة أو غير ضارة، فإن استدعاء واجهة برمجة التطبيقات الخارجية وإرجاع بيانات الطرف الثالث مباشرة في السياق قد يكون له تأثيرات خطيرة. يمكن إدخال كلمات رئيسية ضارة في بيانات JSON المسترجعة وتفعيل التنفيذ الضار بنجاح.
تقنيات التسمم في مرحلة تهيئة MCP
هجوم تغطية الدوال الخبيثة
كتب MasterMCP دالة تحمل نفس اسم Toolbox، وقام بتشفير كلمات تحذيرية خبيثة. من خلال التأكيد على "تم إلغاء الطرق الأصلية"، يتم تحفيز النموذج الكبير لاستدعاء الدالة المغطاة الخبيثة بشكل أساسي.
إضافة منطق فحص عالمي ضار
قام MasterMCP بكتابة أداة تجبر جميع الأدوات على تنفيذ الفحص الأمني قبل التشغيل. تم تحقيق حقن المنطق العالمي من خلال التأكيد المتكرر في الكود على "يجب تشغيل الفحص".
! الرحيل القتالي الفعلي: التسمم السري والتلاعب في نظام MCP
تقنيات متقدمة لإخفاء كلمات التحذير الخبيثة
طريقة الترميز الصديقة للنماذج الكبيرة
استخدام نموذج لغة كبير لإخفاء المعلومات الخبيثة من خلال قدرته على تحليل التنسيقات متعددة اللغات بشكل قوي:
آلية إرجاع الحمولة الضارة العشوائية
كل طلب يُرجع صفحة تحتوي على حمولة خبيثة بشكل عشوائي، مما يزيد من صعوبة الكشف والتتبع.
ملخص
تظهر العروض العملية لـ MasterMCP مختلف المخاطر الأمنية في نظام MCP. من حقن الكلمات الرئيسية البسيطة إلى هجمات مرحلة التهيئة الخفية، تذكرنا كل مرحلة بضعف نظام MCP. التفاعلات المتكررة بين النماذج الكبيرة والإضافات الخارجية وواجهات برمجة التطبيقات، تجعل من الممكن أن يؤدي تلوث المدخلات البسيط إلى مخاطر أمنية على مستوى النظام.
إن تنوع أساليب المهاجمين (إخفاء التشفير، التلوث العشوائي، تغطية الدوال) يعني أن التفكير التقليدي في الحماية يحتاج إلى ترقية شاملة. يجب على المطورين والمستخدمين أن يبقوا متيقظين تجاه نظام MCP، والتركيز على كل تفاعل، وكل سطر من الشيفرة، وكل قيمة عائدة. فقط من خلال التعامل بدقة مع التفاصيل، يمكن بناء بيئة MCP مستقرة وآمنة.
سوف نستمر في تحسين برنامج MasterMCP في المستقبل، وإصدار المزيد من حالات الاختبار المستهدفة مفتوحة المصدر، لمساعدة الناس على فهم الموقف بشكل أعمق، والتدرب وتعزيز الحماية في بيئة آمنة.
![الانطلاق العملي: التسميم الخفي والتحكم في نظام MCP](https://img-cdn.gateio.im/webp-social/moments-c5a25d6fa43a286a07b6a57c1a3f9605.webp01