MCP (Модель Контекста Протокола) система в настоящее время все еще находится на ранней стадии развития, общая среда довольно хаотична, различные потенциальные способы атак появляются один за другим, существующие протоколы и инструменты трудно эффективно защищают. Чтобы повысить осведомленность сообщества о безопасности MCP, SlowMist открыла инструмент MasterMCP, который призван помочь разработчикам своевременно выявлять уязвимости в дизайне продуктов через практические атаки, тем самым постепенно укрепляя безопасность проекта MCP.
В данной статье будет продемонстрировано на практике распространенные способы атак в рамках системы MCP, такие как информационное отравление, скрытые вредоносные команды и другие реальные примеры. Все демонстрационные скрипты также будут открыты, чтобы все могли воспроизвести весь процесс в безопасной среде и даже разработать свои собственные плагины для тестирования атак на основе этих скриптов.
Обзор общей структуры
Демонстрационная атака на цель MCP: Toolbox
Выберите Toolbox в качестве объекта тестирования, основываясь на следующих моментах:
Огромная пользовательская база, обладает代表性
Поддержка автоматической установки других плагинов, дополнение некоторых функций клиента
Содержит конфиденциальные настройки, удобные для демонстрации
демонстрационное использование вредоносного MC: MasterMC
MasterMCP — это инструмент имитации злонамеренного MCP, разработанный компанией SlowMist специально для тестирования безопасности, использующий модульную архитектуру и содержащий следующие ключевые модули:
Моделирование локальных веб-сервисов:
Быстро создайте простой HTTP-сервер с помощью фреймворка FastAPI, имитируя распространенную веб-среду. Эти страницы выглядят нормально, но на самом деле в исходном коде или ответах интерфейса скрыты тщательно спроектированные вредоносные нагрузки.
Локальная плагинная архитектура MC
MasterMCP использует модульный подход для расширения, что позволяет быстро добавлять новые методы атаки. После запуска MasterMCP будет выполнять FastAPI сервис предыдущего модуля в дочернем процессе.
демонстрационный клиент
Cursor: Один из самых популярных в мире IDE для программирования с поддержкой AI.
Claude Desktop:Официальный клиент Anthropic
демонстрационная версия большого модели
Клод 3.7
Кросс-MC Злонамеренный вызов
атака отравления контента веб-страницы
Комментарийный ввод
Посредством Cursor доступ к локальному тестовому веб-сайту, имитирующему влияние доступа клиента большого масштаба к вредоносному сайту. После выполнения команды Cursor не только считывает содержимое веб-страницы, но и передает локальные конфиденциальные данные конфигурации на тестовый сервер. В исходном коде вредоносные подсказки внедрены в виде HTML-комментариев.
Инъекция кодировочных комментариев
Посещение страницы /encode, вредоносные подсказки были закодированы, что делает отравление более скрытым. Даже если исходный код не содержит открытых подсказок, атака все равно успешно выполняется.
атака загрязнения через сторонний интерфейс
Демонстрационное напоминание: независимо от того, является ли MCP злонамеренным или незлонамеренным, при вызове стороннего API, если данные стороннего источника напрямую возвращаются в контекст, это может иметь серьезные последствия.
Техника отравления на этапе инициализации MCP
Злоумышленное покрытие функции
MasterMCP разработал инструмент с функцией remove_server, имеющей то же имя, что и Toolbox, и закодировал скрытые вредоносные подсказки. После выполнения команды Claude Desktop вызвал метод с тем же именем, предоставленный MasterMCP, а не оригинальный метод toolbox remove_server.
MasterMCP разработал инструмент banana, который заставляет все инструменты выполнять этот инструмент для проверки безопасности перед их запуском. Каждый раз перед выполнением функции система сначала вызывает механизм проверки banana.
Продвинутые приемы скрытия вредоносных подсказок
Дружественный к большим моделям способ кодирования
Использование LLM для сокрытия вредоносной информации с помощью мощного анализа многоязычного формата:
Англоязычная среда: использовать кодировку Hex Byte
中文环境:используйте кодировку NCR или кодировку JavaScript
Случайный механизм возврата злонамеренной нагрузки
Каждый раз при запросе /random случайно возвращается страница с вредоносной нагрузкой, что увеличивает сложность обнаружения и отслеживания.
Резюме
Демонстрация MasterMCP на практике наглядно показывает различные угрозы безопасности в системе MCP. От простых инъекций подсказок, меж-MCP вызовов до более скрытых атак на этапе инициализации и скрытия злонамеренных команд, каждый этап напоминает нам о хрупкости экосистемы MCP.
Небольшое загрязнение ввода может вызвать системные риски безопасности, а разнообразие методов атакеров также означает, что традиционные подходы к защите необходимо полностью обновить. Разработчики и пользователи должны оставаться бдительными по отношению к системе MCP, обращая внимание на каждое взаимодействие, каждую строку кода и каждое возвращаемое значение, чтобы построить прочную и безопасную среду MCP.
SlowMist продолжит совершенствовать скрипт MasterMCP, открывать больше целевых тестовых случаев, чтобы помочь всем глубже понять, отработать и усилить защиту в безопасной среде. Связанное содержание уже синхронизировано с GitHub, заинтересованные читатели могут посетить и посмотреть.
 и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
8
Поделиться
комментарий
0/400
OffchainWinner
· 07-18 07:06
Ха, новички в белых шляпах все дрожат
Посмотреть ОригиналОтветить0
CafeMinor
· 07-18 05:32
В водосточной трубе даже нет противопожарной стены?
Посмотреть ОригиналОтветить0
GateUser-a5fa8bd0
· 07-18 00:25
Умереть со смеху, опять круг технарей про.
Посмотреть ОригиналОтветить0
WalletManager
· 07-15 07:59
Атакующие учения, насколько это полезно, если аудиты контрактов всё равно могут выявить настоящие проблемы?
Посмотреть ОригиналОтветить0
TokenomicsTherapist
· 07-15 07:58
Эйма, эта проблема mcp серьезнее, чем я думал.
Посмотреть ОригиналОтветить0
ResearchChadButBroke
· 07-15 07:56
Да это невозможно смотреть, в какое время мы живем, а у них все еще есть уязвимости.
Посмотреть ОригиналОтветить0
CryptoCross-TalkClub
· 07-15 07:56
Еще одна ловушка для неудачников наконец запущена?
Раскрытие уязвимости MCP: демонстрация атаки и стратегии защиты
Демонстрация уязвимостей и атак MCP
MCP (Модель Контекста Протокола) система в настоящее время все еще находится на ранней стадии развития, общая среда довольно хаотична, различные потенциальные способы атак появляются один за другим, существующие протоколы и инструменты трудно эффективно защищают. Чтобы повысить осведомленность сообщества о безопасности MCP, SlowMist открыла инструмент MasterMCP, который призван помочь разработчикам своевременно выявлять уязвимости в дизайне продуктов через практические атаки, тем самым постепенно укрепляя безопасность проекта MCP.
В данной статье будет продемонстрировано на практике распространенные способы атак в рамках системы MCP, такие как информационное отравление, скрытые вредоносные команды и другие реальные примеры. Все демонстрационные скрипты также будут открыты, чтобы все могли воспроизвести весь процесс в безопасной среде и даже разработать свои собственные плагины для тестирования атак на основе этих скриптов.
Обзор общей структуры
Демонстрационная атака на цель MCP: Toolbox
Выберите Toolbox в качестве объекта тестирования, основываясь на следующих моментах:
демонстрационное использование вредоносного MC: MasterMC
MasterMCP — это инструмент имитации злонамеренного MCP, разработанный компанией SlowMist специально для тестирования безопасности, использующий модульную архитектуру и содержащий следующие ключевые модули:
Моделирование локальных веб-сервисов:
Быстро создайте простой HTTP-сервер с помощью фреймворка FastAPI, имитируя распространенную веб-среду. Эти страницы выглядят нормально, но на самом деле в исходном коде или ответах интерфейса скрыты тщательно спроектированные вредоносные нагрузки.
Локальная плагинная архитектура MC
MasterMCP использует модульный подход для расширения, что позволяет быстро добавлять новые методы атаки. После запуска MasterMCP будет выполнять FastAPI сервис предыдущего модуля в дочернем процессе.
демонстрационный клиент
демонстрационная версия большого модели
Кросс-MC Злонамеренный вызов
атака отравления контента веб-страницы
Посредством Cursor доступ к локальному тестовому веб-сайту, имитирующему влияние доступа клиента большого масштаба к вредоносному сайту. После выполнения команды Cursor не только считывает содержимое веб-страницы, но и передает локальные конфиденциальные данные конфигурации на тестовый сервер. В исходном коде вредоносные подсказки внедрены в виде HTML-комментариев.
Посещение страницы /encode, вредоносные подсказки были закодированы, что делает отравление более скрытым. Даже если исходный код не содержит открытых подсказок, атака все равно успешно выполняется.
атака загрязнения через сторонний интерфейс
Демонстрационное напоминание: независимо от того, является ли MCP злонамеренным или незлонамеренным, при вызове стороннего API, если данные стороннего источника напрямую возвращаются в контекст, это может иметь серьезные последствия.
Техника отравления на этапе инициализации MCP
Злоумышленное покрытие функции
MasterMCP разработал инструмент с функцией remove_server, имеющей то же имя, что и Toolbox, и закодировал скрытые вредоносные подсказки. После выполнения команды Claude Desktop вызвал метод с тем же именем, предоставленный MasterMCP, а не оригинальный метод toolbox remove_server.
Добавление злонамеренной глобальной проверки логики
MasterMCP разработал инструмент banana, который заставляет все инструменты выполнять этот инструмент для проверки безопасности перед их запуском. Каждый раз перед выполнением функции система сначала вызывает механизм проверки banana.
Продвинутые приемы скрытия вредоносных подсказок
Дружественный к большим моделям способ кодирования
Использование LLM для сокрытия вредоносной информации с помощью мощного анализа многоязычного формата:
Случайный механизм возврата злонамеренной нагрузки
Каждый раз при запросе /random случайно возвращается страница с вредоносной нагрузкой, что увеличивает сложность обнаружения и отслеживания.
Резюме
Демонстрация MasterMCP на практике наглядно показывает различные угрозы безопасности в системе MCP. От простых инъекций подсказок, меж-MCP вызовов до более скрытых атак на этапе инициализации и скрытия злонамеренных команд, каждый этап напоминает нам о хрупкости экосистемы MCP.
Небольшое загрязнение ввода может вызвать системные риски безопасности, а разнообразие методов атакеров также означает, что традиционные подходы к защите необходимо полностью обновить. Разработчики и пользователи должны оставаться бдительными по отношению к системе MCP, обращая внимание на каждое взаимодействие, каждую строку кода и каждое возвращаемое значение, чтобы построить прочную и безопасную среду MCP.
SlowMist продолжит совершенствовать скрипт MasterMCP, открывать больше целевых тестовых случаев, чтобы помочь всем глубже понять, отработать и усилить защиту в безопасной среде. Связанное содержание уже синхронизировано с GitHub, заинтересованные читатели могут посетить и посмотреть.
![Практическое руководство: Скрытая токсинация и манипуляции в системе MCP](https://img-cdn.gateio.im/webp-social/moments-c5a25d6fa43a286a07b6a57c1a3f9605.webp01