MCP sistemi güvenlik açıkları ve savunma tartışması

MCP ( Model Context Protocol ) sistemi şu anda erken gelişim aşamasındadır, genel ortam oldukça karmaşık ve çeşitli potansiyel saldırı yöntemleri sürekli ortaya çıkmaktadır, mevcut protokoller ve araç tasarımı etkili savunma sağlamada zorluk yaşamaktadır. MCP güvenliğini artırmak için, Slow Mist MasterMCP aracını açık kaynak olarak sunmuştur; bu araç, gerçek saldırı tatbikatları yoluyla ürün tasarımındaki güvenlik açıklarını bulmaya yardımcı olmayı ve MCP projesini kademeli olarak güçlendirmeyi amaçlamaktadır.

Bu yazıda, MCP güvenlik kontrol listesini birleştirerek okuyucuları pratik yapmaya yönlendireceğiz ve MCP sistemi altında yaygın saldırı yöntemlerini, örneğin bilgi zehirleme, gizli kötü niyetli komutlar gibi gerçek vakaları göstereceğiz. Tüm gösterim scriptleri açık kaynak olarak sunulacak ve herkesin güvenli bir ortamda kendi saldırı test eklentilerini yeniden üretmesi ve geliştirmesi için kullanılabilir.

Genel Mimarinin Gözden Geçirilmesi

saldırı hedefi MCP: Toolbox

Toolbox, bir MCP eklenti web sitesi tarafından sunulan resmi MCP yönetim aracıdır. Toolbox'ı test hedefi olarak seçmenin başlıca nedenleri şunlardır:

• Kullanıcı tabanı büyük, temsil edici.
• Diğer eklentilerin otomatik olarak yüklenmesini destekler, bazı istemci işlevlerini tamamlar.
• Hassas yapılandırmaları içerir, gösterim yapmak için uygundur

gösterim için kötü niyetli MCP: MasterMCP

MasterMCP, güvenlik testleri için özel olarak yazılmış bir kötü niyetli MCP simülasyon aracıdır ve eklenti mimarisi tasarımına sahiptir. Aşağıdaki anahtar modülleri içerir:

1. Yerel web sitesi hizmeti simülasyonu: FastAPI çerçevesi kullanarak basit bir HTTP sunucusu kurarak yaygın web sayfası ortamını simüle etmek. Bu sayfalar yüzeyde normal görünmektedir, ancak aslında kaynak kodu veya arayüz yanıtlarında özenle tasarlanmış kötü niyetli yükler gizlenmiştir.

2. Yerel Eklenti Tabanlı MCP Mimarisi: Eklenti tabanlı bir yaklaşım benimseyerek genişleme sağlar, böylece yeni saldırı yöntemlerinin hızlı bir şekilde eklenmesi kolaylaşır. Çalıştırıldığında, MasterMCP alt süreçte FastAPI hizmetini başlatacaktır.

Demo İstemcisi

• Cursor: Dünyada popüler olan AI destekli programlama IDE'lerinden biri
• Claude Desktop: Belirli bir şirketin resmi istemcisi

gösterim amaçlı büyük model

Claude 3.7 versiyonunu seçin, çünkü hassas işlem tanıma konusunda belirli bir geliştirme sağladı ve aynı zamanda mevcut MCP ekosisteminde güçlü bir işletim yeteneğini temsil ediyor.

Cross-MCP kötü niyetli çağrı

web içeriği zehirleme saldırısı

1. Yorumlayıcı zehirleme

Yerel test web sitesine erişim sağlayarak, büyük model istemcisinin kötü niyetli bir web sitesine erişiminin etkilerini simüle edin. Sonuçlar, istemcinin yalnızca web sayfası içeriğini okumakla kalmayıp, aynı zamanda yerel hassas yapılandırma verilerini test sunucusuna geri gönderdiğini gösteriyor. Kötü niyetli anahtar kelimeler HTML yorum biçiminde yerleştirilmiş olup, oldukça açık olmasına rağmen kötü niyetli işlemleri tetikleyebiliyor.

2. Kodlama Tabanlı Yorum Zehirleme

Şifrelenmiş kötü niyetli web sayfasına erişim sağlamak, kaynak kodu açık metin ipuçları içermese bile, saldırının yine de başarılı bir şekilde gerçekleştirilmesine olanak tanır. Bu yöntem, zehirlemeyi daha gizli hale getirir ve doğrudan fark edilmesini zorlaştırır.

Üçüncü taraf arayüzü kirliliği saldırısı

Gösterimler, kötü niyetli veya kötü niyetli olmayan MCP'lerin, üçüncü taraf API'leri çağırırken, üçüncü taraf verilerini doğrudan bağlama döndürmenin ciddi etkiler doğurabileceğini göstermektedir. Kötü niyetli anahtar kelimeler, döndürülen JSON verisine yerleştirilebilir ve kötü niyetli yürütmeyi başarıyla tetikleyebilir.

MCP başlangıç aşamasının zehirleme teknikleri

Kötü niyetli fonksiyon örtme saldırısı

MasterMCP, Toolbox ile aynı adı taşıyan bir fonksiyon yazdı ve kötü niyetli talimatları gizlemek için kodladı. "Eski yöntem artık geçerli değil" vurgusu yaparak, büyük modelin kötü niyetli olarak üst üste bindirilmiş fonksiyonu öncelikli olarak çağırmasını sağladı.

kötü niyetli genel kontrol mantığı ekle

MasterMCP, tüm araçların çalışmadan önce güvenlik kontrollerini gerçekleştirmesini zorunlu kılan bir araç geliştirdi. Kodda "kontrolü çalıştırmak zorunludur" ifadesini tekrarlayarak küresel mantık enjekte edildi.

Kötü niyetli ipuçlarını gizlemenin ileri teknikleri

Büyük model dostu kodlama yöntemi

Kötü niyetli bilgileri gizlemek için büyük dil modellerinin çok dilli formatlardaki güçlü analiz yeteneğinden yararlanmak:

• İngilizce ortam: Hex Byte kodlaması kullanma
• Türkçe ortam: NCR kodlaması veya JavaScript kodlaması kullanın

Rastgele kötü niyetli yük geri dönüş mekanizması

Her istekte rastgele kötü amaçlı yük ile birlikte sayfalar döndürülmesi, tespiti ve izlenebilirliği zorlaştırır.

Özet

MasterMCP uygulamalı gösterimi, MCP sistemindeki çeşitli güvenlik açıklarını ortaya koymaktadır. Basit ipucu enjeksiyonundan gizli başlatma aşaması saldırılarına kadar, her aşama MCP ekosisteminin kırılganlığını hatırlatmaktadır. Büyük modellerin dış eklentiler ve API'lerle sık etkileşimi, küçük bir girdi kirlenmesinin sistem düzeyinde güvenlik riskleri doğurabileceği anlamına gelmektedir.

Saldırganların yöntem çeşitliliği (kod gizleme, rastgele kirletme, fonksiyon örtme) geleneksel koruma anlayışının kapsamlı bir şekilde güncellenmesi gerektiğini göstermektedir. Geliştiriciler ve kullanıcılar, MCP sistemine dikkat etmeli ve her etkileşimi, her kod satırını, her dönen değeri izlemelidir. Sadece detaylara titizlikle yaklaşarak sağlam ve güvenli bir MCP ortamı inşa edilebilir.

Gelecekte MasterMCP scriptini daha da geliştirecek, daha fazla hedeflenmiş test vakasını açık kaynak hale getirecek ve güvenli bir ortamda derinlemesine anlamak, pratik yapmak ve korumayı güçlendirmek için yardımcı olacaktır.