Обсуждение угроз безопасности системы MCP и методов защиты

MCP (Model Context Protocol) система в настоящее время находится на ранней стадии развития, общая обстановка довольно хаотична, различные потенциальные способы атак не прекращаются, существующие протоколы и инструменты проектирования трудно эффективно защищать. Для повышения безопасности MCP, Slow Mist открыла исходный код инструмента MasterMCP, целью которого является помощь в выявлении уязвимостей в проекте продукта через практические учения по атакам, постепенно укрепляя проект MCP.

В данной статье будет представлен список проверок безопасности MCP, который позволит читателям ознакомиться с практическими примерами распространенных атак в рамках системы MCP, таких как отравление информации, скрытые вредоносные команды и другие реальные случаи. Все демонстрационные скрипты будут открыты, чтобы каждый мог воспроизвести и разработать свои собственные плагины для тестирования атак в безопасной среде.

Обзор общей архитектуры

Демонстрационная атака на цель MCP: Toolbox

Toolbox является официальным инструментом управления MCP, выпущенным сайтом плагинов MCP. Выбор Toolbox в качестве тестовой цели основан на следующих моментах:

• Огромная база пользователей, обладающая представительностью
• Поддержка автоматической установки других плагинов, дополнение некоторых функций клиента
• Содержит конфиденциальные настройки, удобные для демонстрации

демонстрационное использование вредоносного MC: MasterMCP

MasterMCP — это инструмент для моделирования вредоносных MCP, разработанный специально для тестирования безопасности, использующий модульную архитектуру и включающий в себя следующие ключевые модули:

1. Моделирование локальных веб-сервисов: создание простого HTTP-сервера с помощью фреймворка FastAPI для имитации обычной веб-страничной среды. Эти страницы выглядят нормально, но на самом деле в исходном коде или ответах интерфейса скрыты тщательно разработанные вредоносные нагрузки.

2. Локальная плагинная архитектура MCP: используется плагинный подход для расширения, что упрощает последующее быстрое добавление новых способов атак. После запуска MasterMCP будет запускать службу FastAPI в дочернем процессе.

демонстрационный клиент

• Cursor: одна из самых популярных AI-ассистированных IDE для программирования в мире
• Claude Desktop：официальный клиент компании

демонстрационная версия большой модели

Выберите версию Claude 3.7, так как в ней уже есть определенные улучшения в распознавании чувствительных операций, и она представляет собой довольно сильные операционные возможности в текущей экосистеме MCP.

Cross-MCP Злонамеренный вызов

атака на веб-контент с использованием ядовитых данных

1. Комментарийный вредоносный код

Посредством доступа к локальному тестовому сайту был смоделирован эффект доступа клиента большого модели к вредоносному сайту. Результаты показывают, что клиент не только считывал содержимое веб-страницы, но и возвращал локальные конфигурационные данные на тестовый сервер. Вредоносные подсказки были внедрены в виде HTML-комментариев, и хотя они были довольно прямолинейными, это уже могло вызвать вредоносные действия.

2. Кодирующая аннотация отравления

Доступ к закодированной вредоносной веб-странице, даже если исходный код не содержит явных ключевых слов, атака все равно успешно выполняется. Этот способ делает отравление более скрытым и трудным для непосредственного обнаружения.

Атака с загрязнением интерфейса третьей стороны

Демонстрация показывает, что независимо от того, является ли MCP злонамеренным или незлонамеренным, прямое возвращение данных третьей стороны в контекст при вызове API третьей стороны может иметь серьезные последствия. Злонамеренные подсказки могут быть внедрены в возвращаемые данные JSON и успешно вызвать злонамеренное выполнение.

Техника отравления на этапе инициализации MCP

атака с подменой функции

MasterMCP написал функцию с именем Toolbox и закодировал скрытые злонамеренные подсказки. Подчеркивая "старый метод устарел", он诱导ирует большую модель сначала вызывать злонамеренную функцию.

Добавить злонамеренную глобальную проверку логики

MasterMCP разработал инструмент, который требует обязательной проверки безопасности перед запуском всех инструментов. Это достигается путем многократного подчеркивания в коде "необходимо выполнить проверку" для внедрения глобальной логики.

Продвинутые советы по скрытию вредоносных подсказок

Дружелюбный к большим моделям способ кодирования

Использование мощной способности больших языковых моделей к глубокому анализу многоязычных форматов для скрытия вредоносной информации:

• Английская среда: использовать кодировку Hex Byte
• Китайская среда: используйте кодировку NCR или кодировку JavaScript

Случайный механизм возврата вредоносной нагрузки

Каждый раз при запросе случайно возвращать страницы с вредоносной загрузкой, увеличивая сложность обнаружения и отслеживания.

Резюме

Демонстрация MasterMCP на практике раскрывает различные угрозы безопасности в системе MCP. От простых инъекций подсказок до скрытых атак на этапе инициализации, каждый этап напоминает нам о хрупкости экосистемы MCP. Частые взаимодействия больших моделей с внешними плагинами и API означают, что небольшое загрязнение ввода может вызвать системные риски безопасности.

Разнообразие методов атак (скрытие кода, случайное загрязнение, перезапись функций) означает, что традиционные подходы к защите требуют全面升级. Разработчики и пользователи должны оставаться бдительными к системе MCP, обращая внимание на каждое взаимодействие, каждую строку кода, каждое возвращаемое значение. Только при строгом отношении к деталям можно создать надежную и безопасную среду MCP.

В будущем мы продолжим улучшать скрипт MasterMCP, открывая больше целевых тестовых случаев, чтобы помочь глубже понять, отработать и укрепить защиту в безопасной среде.