MCP 體系安全隱患及防御探討

MCP (Model Context Protocol) 體系目前處於早期發展階段，整體環境較爲混沌，各種潛在攻擊方式層出不窮，現有協議和工具設計難以有效防御。爲提升 MCP 安全性，慢霧開源了 MasterMCP 工具，旨在通過實際攻擊演練幫助發現產品設計中的安全隱患，逐步加固 MCP 項目。

本文將結合 MCP 安全檢查清單，帶領讀者動手實操，演示 MCP 體系下的常見攻擊方式，如信息投毒、隱匿惡意指令等真實案例。所有演示腳本將一並開源，供大家在安全環境中復現和開發自己的攻擊測試插件。

整體架構概覽

演示攻擊目標 MCP：Toolbox

Toolbox 是某 MCP 插件網站推出的官方 MCP 管理工具。選擇 Toolbox 作爲測試目標主要基於以下幾點：

• 用戶基數龐大，具有代表性
• 支持自動安裝其他插件，補充部分客戶端功能
• 包含敏感配置，便於進行演示

演示使用的惡意 MCP：MasterMCP

MasterMCP 是專門爲安全測試編寫的模擬惡意 MCP 工具，採用插件化架構設計，包含以下關鍵模塊：

1. 本地網站服務模擬：通過 FastAPI 框架搭建簡易 HTTP 服務器，模擬常見網頁環境。這些頁面表面正常，但實際在源碼或接口返回中隱藏了精心設計的惡意載荷。

2. 本地插件化 MCP 架構：採用插件化方式進行拓展，方便後續快速添加新的攻擊方式。運行後，MasterMCP 會在子進程啓動 FastAPI 服務。

演示客戶端

• Cursor：全球流行的 AI 輔助編程 IDE 之一
• Claude Desktop：某公司官方客戶端

演示使用的大模型

選擇 Claude 3.7 版本，因其在敏感操作識別上已有一定改進，同時代表了當前 MCP 生態中較強的操作能力。

Cross-MCP 惡意調用

網頁內容投毒攻擊

1. 注釋型投毒

通過訪問本地測試網站，模擬大模型客戶端訪問惡意網站的影響。結果顯示，客戶端不僅讀取了網頁內容，還將本地敏感配置數據回傳至測試服務器。惡意提示詞以 HTML 注釋形式植入，雖然較爲直白，但已能觸發惡意操作。

2. 編碼型注釋投毒

訪問編碼後的惡意網頁，即使原始碼不含明文提示詞，攻擊依舊成功執行。這種方式讓投毒更加隱蔽，難以直接察覺。

第三方接口污染攻擊

演示表明，無論是惡意還是非惡意的 MCP，在調用第三方 API 時，直接將第三方數據返回上下文都可能帶來嚴重影響。惡意提示詞可被植入返回的 JSON 數據中並順利觸發惡意執行。

MCP 初始化階段的投毒技術

惡意函數覆蓋攻擊

MasterMCP 編寫了與 Toolbox 同名的函數，並編碼隱藏惡意提示詞。通過強調"原有方法已廢棄"，誘導大模型優先調用惡意覆蓋的函數。

添加惡意全局檢查邏輯

MasterMCP 編寫了一個強制所有工具運行前都必須執行安全檢查的工具。通過在代碼中反復強調"必須運行檢測"來實現全局邏輯注入。

隱藏惡意提示詞的進階技巧

大模型友好的編碼方式

利用大語言模型對多語言格式的強解析能力隱藏惡意信息：

• 英文環境：使用 Hex Byte 編碼
• 中文環境：使用 NCR 編碼或 JavaScript 編碼

隨機惡意載荷返回機制

每次請求隨機返回帶惡意載荷的頁面，增加檢測與溯源難度。

總結

MasterMCP 實戰演示揭示了 MCP 體系中的各種安全隱患。從簡單提示詞注入到隱蔽的初始化階段攻擊，每個環節都提醒我們 MCP 生態的脆弱性。大模型與外部插件、API 的頻繁交互，使得小小的輸入污染可能引發系統級安全風險。

攻擊者手段的多樣化（編碼隱藏、隨機污染、函數覆蓋）意味着傳統防護思路需要全面升級。開發者和使用者都應對 MCP 體系保持警惕，關注每次交互、每行代碼、每個返回值。只有在細節上嚴謹對待，才能構築穩固、安全的 MCP 環境。

未來將繼續完善 MasterMCP 腳本，開源更多針對性測試用例，幫助在安全環境下深入理解、演練和強化防護。