MCP (Modelo de Contexto del Protocolo) El sistema se encuentra actualmente en una etapa temprana de desarrollo, el entorno general es bastante caótico, y diversas formas de ataque potencial surgen continuamente, lo que dificulta la defensa efectiva de los protocolos y herramientas existentes. Para mejorar la conciencia de la comunidad sobre la seguridad del MCP, SlowMist ha open-sourced la herramienta MasterMCP, que tiene como objetivo ayudar a los desarrolladores a identificar a tiempo las vulnerabilidades de seguridad en el diseño del producto a través de simulaciones de ataques reales, fortaleciendo así gradualmente la seguridad del proyecto MCP.
Este artículo demostrará, a través de una demostración práctica, los métodos de ataque comunes bajo el sistema MCP, como la inyección de información y la ocultación de comandos maliciosos, entre otros casos reales. Todos los scripts de demostración también se abrirán como código fuente, para que todos puedan replicar todo el proceso en un entorno seguro, e incluso desarrollar sus propios complementos de pruebas de ataque basados en estos scripts.
Visión general de la arquitectura
Objetivo de ataque de demostración MCP: Toolbox
Elegir Toolbox como objetivo de prueba, principalmente basado en los siguientes puntos:
La base de usuarios es enorme y representativa
Soporta la instalación automática de otros complementos, complementando algunas funciones del cliente.
Incluye configuraciones sensibles, lo que facilita la demostración
uso malicioso de MCP en la demostración: MasterMCP
MasterMCP es una herramienta de simulación de MCP malicioso desarrollada por SlowMist específicamente para pruebas de seguridad, que utiliza un diseño de arquitectura modular y contiene los siguientes módulos clave:
Simulación de servicios de sitios web locales:
A través del marco FastAPI, se puede construir rápidamente un servidor HTTP simple que simule un entorno web común. Estas páginas parecen normales, pero en realidad contienen cargas maliciosas cuidadosamente diseñadas en el código fuente o en las respuestas de la API.
Arquitectura MCP de plugins locales
MasterMCP utiliza un enfoque modular para la expansión, lo que facilita la adición rápida de nuevos métodos de ataque en el futuro. Una vez en funcionamiento, MasterMCP ejecutará el servicio FastAPI del módulo anterior en un subproceso.
cliente de demostración
Cursor: uno de los IDE de programación asistida por IA más populares en el mundo actualmente
Claude Desktop: Cliente oficial de Anthropic
modelo grande utilizado para demostración
Claude 3.7
Invocación Maliciosa Cross-MCP
ataque de envenenamiento de contenido web
Inyección de comentarios
A través de Cursor, se accede a un sitio web de prueba local, simulando el impacto que tendría un cliente de modelo grande al acceder a un sitio web malicioso. Después de ejecutar el comando, Cursor no solo leyó el contenido de la página web, sino que también devolvió datos de configuración sensibles locales al servidor de pruebas. En el código fuente, las palabras clave maliciosas están incrustadas en forma de comentarios HTML.
Inyección de comentarios codificados
Acceder a la página /encode, las palabras clave maliciosas han sido codificadas, haciendo que la inyección sea más encubierta. Incluso si el código fuente no contiene palabras clave en texto claro, el ataque aún se ejecuta con éxito.
ataque de contaminación de interfaz de terceros
Recordatorio de demostración, ya sea que el MCP sea malicioso o no, al llamar a una API de terceros, si se devuelven datos de terceros directamente al contexto, puede tener graves consecuencias.
Técnica de envenenamiento en la fase de inicialización de MCP
ataque de sobrescritura de funciones maliciosas
MasterMCP escribió una herramienta llamada remove_server, que es la misma que la función Toolbox, y codificó palabras clave maliciosas ocultas. Después de ejecutar la instrucción, Claude Desktop activó el método del mismo nombre proporcionado por MasterMCP, en lugar del método remove_server de toolbox.
añadir lógica de verificación global maliciosa
MasterMCP ha creado la herramienta banana, que obliga a que se ejecute esta herramienta para realizar un chequeo de seguridad antes de que se ejecuten todas las herramientas. Cada vez que se ejecute una función, el sistema priorizará la llamada al mecanismo de verificación banana.
Técnicas avanzadas para ocultar palabras clave maliciosas
forma de codificación amigable para modelos grandes
Utilizar LLM para ocultar información maliciosa aprovechando su fuerte capacidad de análisis de formatos multilingües:
Entorno en inglés: usar codificación Hex Byte
Entorno en chino: usar codificación NCR o codificación JavaScript
Mecanismo de retorno de carga maliciosa aleatoria
Cada vez que se solicita /random, devuelve aleatoriamente una página con carga maliciosa, aumentando la dificultad de detección y trazabilidad.
Resumen
La demostración práctica de MasterMCP muestra de manera intuitiva los diversos riesgos de seguridad en el sistema MCP. Desde la simple inyección de palabras clave, llamadas cruzadas entre MCP, hasta ataques en la fase de inicialización más ocultos y la ocultación de instrucciones maliciosas, cada etapa nos recuerda la vulnerabilidad del ecosistema MCP.
Pequeñas contaminaciones en la entrada pueden desencadenar riesgos de seguridad a nivel de sistema, y la diversificación de las técnicas de los atacantes también significa que las estrategias de defensa tradicionales necesitan una actualización completa. Tanto desarrolladores como usuarios deben estar atentos al sistema MCP, prestando atención a cada interacción, cada línea de código, y cada valor de retorno, para poder construir un entorno MCP sólido y seguro.
SlowMist continuará perfeccionando el script MasterMCP, publicando más casos de prueba específicos de código abierto para ayudar a todos a comprender, practicar y fortalecer la protección en un entorno seguro. El contenido relacionado ya se ha sincronizado con GitHub, los lectores interesados pueden visitar para verlo.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
17 me gusta
Recompensa
17
8
Compartir
Comentar
0/400
OffchainWinner
· 07-18 07:06
¡Hola, los novatos de White Hat siempre están emocionados!
Ver originalesResponder0
CafeMinor
· 07-18 05:32
¿No hay ni un cortafuegos en la tubería de desagüe?
Ver originalesResponder0
GateUser-a5fa8bd0
· 07-18 00:25
Risas, otra vez en el círculo de los expertos en tecnología
Ver originalesResponder0
WalletManager
· 07-15 07:59
¿Cuántas simulaciones de ataque se pueden realizar? ¿Se pueden detectar problemas reales en la auditoría de contratos?
Ver originalesResponder0
TokenomicsTherapist
· 07-15 07:58
Emma, este problema de mcp es más grave de lo que imaginaba.
Ver originalesResponder0
ResearchChadButBroke
· 07-15 07:56
No puedo creer que en esta época todavía haya fallos ocultos.
Ver originalesResponder0
CryptoCross-TalkClub
· 07-15 07:56
¿Otra trampa para tomar a la gente por tonta finalmente ha sido lanzada?
Revelación de vulnerabilidades de seguridad de MCP: demostración de ataque y estrategias de protección
Demostración de vulnerabilidades y ataques de MCP
MCP (Modelo de Contexto del Protocolo) El sistema se encuentra actualmente en una etapa temprana de desarrollo, el entorno general es bastante caótico, y diversas formas de ataque potencial surgen continuamente, lo que dificulta la defensa efectiva de los protocolos y herramientas existentes. Para mejorar la conciencia de la comunidad sobre la seguridad del MCP, SlowMist ha open-sourced la herramienta MasterMCP, que tiene como objetivo ayudar a los desarrolladores a identificar a tiempo las vulnerabilidades de seguridad en el diseño del producto a través de simulaciones de ataques reales, fortaleciendo así gradualmente la seguridad del proyecto MCP.
Este artículo demostrará, a través de una demostración práctica, los métodos de ataque comunes bajo el sistema MCP, como la inyección de información y la ocultación de comandos maliciosos, entre otros casos reales. Todos los scripts de demostración también se abrirán como código fuente, para que todos puedan replicar todo el proceso en un entorno seguro, e incluso desarrollar sus propios complementos de pruebas de ataque basados en estos scripts.
Visión general de la arquitectura
Objetivo de ataque de demostración MCP: Toolbox
Elegir Toolbox como objetivo de prueba, principalmente basado en los siguientes puntos:
uso malicioso de MCP en la demostración: MasterMCP
MasterMCP es una herramienta de simulación de MCP malicioso desarrollada por SlowMist específicamente para pruebas de seguridad, que utiliza un diseño de arquitectura modular y contiene los siguientes módulos clave:
Simulación de servicios de sitios web locales:
A través del marco FastAPI, se puede construir rápidamente un servidor HTTP simple que simule un entorno web común. Estas páginas parecen normales, pero en realidad contienen cargas maliciosas cuidadosamente diseñadas en el código fuente o en las respuestas de la API.
Arquitectura MCP de plugins locales
MasterMCP utiliza un enfoque modular para la expansión, lo que facilita la adición rápida de nuevos métodos de ataque en el futuro. Una vez en funcionamiento, MasterMCP ejecutará el servicio FastAPI del módulo anterior en un subproceso.
cliente de demostración
modelo grande utilizado para demostración
Invocación Maliciosa Cross-MCP
ataque de envenenamiento de contenido web
A través de Cursor, se accede a un sitio web de prueba local, simulando el impacto que tendría un cliente de modelo grande al acceder a un sitio web malicioso. Después de ejecutar el comando, Cursor no solo leyó el contenido de la página web, sino que también devolvió datos de configuración sensibles locales al servidor de pruebas. En el código fuente, las palabras clave maliciosas están incrustadas en forma de comentarios HTML.
Acceder a la página /encode, las palabras clave maliciosas han sido codificadas, haciendo que la inyección sea más encubierta. Incluso si el código fuente no contiene palabras clave en texto claro, el ataque aún se ejecuta con éxito.
ataque de contaminación de interfaz de terceros
Recordatorio de demostración, ya sea que el MCP sea malicioso o no, al llamar a una API de terceros, si se devuelven datos de terceros directamente al contexto, puede tener graves consecuencias.
Técnica de envenenamiento en la fase de inicialización de MCP
ataque de sobrescritura de funciones maliciosas
MasterMCP escribió una herramienta llamada remove_server, que es la misma que la función Toolbox, y codificó palabras clave maliciosas ocultas. Después de ejecutar la instrucción, Claude Desktop activó el método del mismo nombre proporcionado por MasterMCP, en lugar del método remove_server de toolbox.
añadir lógica de verificación global maliciosa
MasterMCP ha creado la herramienta banana, que obliga a que se ejecute esta herramienta para realizar un chequeo de seguridad antes de que se ejecuten todas las herramientas. Cada vez que se ejecute una función, el sistema priorizará la llamada al mecanismo de verificación banana.
Técnicas avanzadas para ocultar palabras clave maliciosas
forma de codificación amigable para modelos grandes
Utilizar LLM para ocultar información maliciosa aprovechando su fuerte capacidad de análisis de formatos multilingües:
Mecanismo de retorno de carga maliciosa aleatoria
Cada vez que se solicita /random, devuelve aleatoriamente una página con carga maliciosa, aumentando la dificultad de detección y trazabilidad.
Resumen
La demostración práctica de MasterMCP muestra de manera intuitiva los diversos riesgos de seguridad en el sistema MCP. Desde la simple inyección de palabras clave, llamadas cruzadas entre MCP, hasta ataques en la fase de inicialización más ocultos y la ocultación de instrucciones maliciosas, cada etapa nos recuerda la vulnerabilidad del ecosistema MCP.
Pequeñas contaminaciones en la entrada pueden desencadenar riesgos de seguridad a nivel de sistema, y la diversificación de las técnicas de los atacantes también significa que las estrategias de defensa tradicionales necesitan una actualización completa. Tanto desarrolladores como usuarios deben estar atentos al sistema MCP, prestando atención a cada interacción, cada línea de código, y cada valor de retorno, para poder construir un entorno MCP sólido y seguro.
SlowMist continuará perfeccionando el script MasterMCP, publicando más casos de prueba específicos de código abierto para ayudar a todos a comprender, practicar y fortalecer la protección en un entorno seguro. El contenido relacionado ya se ha sincronizado con GitHub, los lectores interesados pueden visitar para verlo.