MCP (Model Context Protocol) система в настоящее время все еще находится на ранней стадии развития, общая обстановка довольно хаотична, различные потенциальные способы атак появляются один за другим. Для повышения безопасности MCP, Slow Mist открыла инструмент MasterMCP, который помогает выявить уязвимости в проектировании продукта через реальные симуляции атак. В этой статье будут продемонстрированы распространенные способы атак в рамках системы MCP, такие как отравление информации, скрытие вредоносных команд и другие реальные примеры.
Обзор общей архитектуры
Цель атаки MCP: Toolbox
Toolbox является официальным инструментом управления MCP, выпущенным smithery.ai, и выбор его в качестве тестовой цели основан на следующих основных моментах:
Огромная база пользователей,具有代表性
Поддержка автоматической установки других плагинов, дополнение некоторых функций клиента
Содержит конфиденциальные настройки, удобные для демонстрации
Вредоносный MCP: MasterMCP
MasterMCP - это инструмент для моделирования вредоносного MCP, специально разработанный для тестирования безопасности, с плагинной архитектурой и следующими ключевыми модулями:
Моделирование локального веб-сервиса: создание простого HTTP-сервера с помощью фреймворка FastAPI для имитации обычной веб-окружения.
Локальная плагинная архитектура MCP: использование плагинного подхода для расширения, что облегчает быструю добавку новых способов атаки.
демонстрационный клиент
Cursor: один из самых популярных IDE для программирования с поддержкой AI в мире
Claude Desktop: официальный клиент Anthropic
демонстрационная версия большого модели
Клод 3.7
Cross-MCP злонамеренный вызов
атака с использованием вредоносного контента на веб-странице
Комментарийный токсин
Успешно вызвано злонамеренное действие путем внедрения вредоносных ключевых слов в виде HTML-комментариев в исходный код веб-страницы.
Кодовые комментарии-отравители
Даже если исходный код не содержит открытых подсказок, атака все равно успешно выполняется. Зловредные подсказки обрабатываются кодированием, что делает их трудными для непосредственного обнаружения.
Атака на загрязнение сторонних интерфейсов
Демонстрация показывает, что как злонамеренные, так и незлонамеренные MCP, при вызове стороннего API, если напрямую возвращать сторонние данные в контекст, могут привести к серьезным последствиям.
Технология отравления на этапе инициализации MCP
злоумышленное покрытие функции атаки
MasterMCP написал функцию remove_server с именем Toolbox и закодировал скрытые вредоносные подсказки. Подчеркивая "существующий метод устарел", он подталкивает большую модель к приоритетному вызову вредоносно перезаписанной функции.
Добавить злонамеренную глобальную проверку логики
MasterMCP разработал инструмент banana, который требует, чтобы все инструменты выполняли эту проверку безопасности перед запуском. Это достигается путем повторного подчеркивания "необходимо выполнить проверку banana" в глобальной логике.
Расширенные приемы скрытия вредоносных подсказок
Дружественный к большим моделям способ кодирования
Использование мощной способности больших языковых моделей к анализу многоязычных форматов для сокрытия вредоносной информации:
Английская среда: использование кодировки Hex Byte
Русская среда: Используйте кодировку NCR или кодирование JavaScript
 Механизм возврата случайного вредоносного полезного нагрузки
Каждый запрос случайным образом возвращает страницу с вредоносной нагрузкой, что усложняет обнаружение и отслеживание.
![Практическое начало: Скрытое отравление и манипуляция в системе MCP]###https://img-cdn.gateio.im/webp-social/moments-bf6d8976b54bebbec34699753f4dbb70.webp(
Обзор
Демонстрация MasterMCP раскрывает различные уязвимости системы MCP. От простых атак с использованием подсказок до более скрытых атак на этапе инициализации, каждый этап напоминает нам о хрупкости экосистемы MCP. В эпоху, когда большие модели часто взаимодействуют с внешними плагинами и API, небольшое загрязнение входных данных может вызвать системные риски безопасности.
Разнообразие методов атаки (скрытие кода, случайное загрязнение, переопределение функций) означает, что традиционные подходы к защите нуждаются в полном обновлении. Разработчики и пользователи должны оставаться бдительными относительно системы MCP, обращая внимание на каждое взаимодействие, каждую строку кода и каждое значение возврата. Только при строгом отношении к деталям можно построить надежную и безопасную среду MCP.
Связанное содержание синхронизировано с GitHub, заинтересованные читатели могут продолжить исследование.
![Практическое руководство: скрытая подача токсинов и манипуляции в системе MCP])https://img-cdn.gateio.im/webp-social/moments-e92a70908e6828b2895dd5f52c58459e.webp(
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Полное разоблачение угроз безопасности MCP: от отравления до скрытых атак
Безопасные риски и демонстрация атак системы MCP
MCP (Model Context Protocol) система в настоящее время все еще находится на ранней стадии развития, общая обстановка довольно хаотична, различные потенциальные способы атак появляются один за другим. Для повышения безопасности MCP, Slow Mist открыла инструмент MasterMCP, который помогает выявить уязвимости в проектировании продукта через реальные симуляции атак. В этой статье будут продемонстрированы распространенные способы атак в рамках системы MCP, такие как отравление информации, скрытие вредоносных команд и другие реальные примеры.
Обзор общей архитектуры
Цель атаки MCP: Toolbox
Toolbox является официальным инструментом управления MCP, выпущенным smithery.ai, и выбор его в качестве тестовой цели основан на следующих основных моментах:
Вредоносный MCP: MasterMCP
MasterMCP - это инструмент для моделирования вредоносного MCP, специально разработанный для тестирования безопасности, с плагинной архитектурой и следующими ключевыми модулями:
Моделирование локального веб-сервиса: создание простого HTTP-сервера с помощью фреймворка FastAPI для имитации обычной веб-окружения.
Локальная плагинная архитектура MCP: использование плагинного подхода для расширения, что облегчает быструю добавку новых способов атаки.
демонстрационный клиент
демонстрационная версия большого модели
Cross-MCP злонамеренный вызов
атака с использованием вредоносного контента на веб-странице
Успешно вызвано злонамеренное действие путем внедрения вредоносных ключевых слов в виде HTML-комментариев в исходный код веб-страницы.
Даже если исходный код не содержит открытых подсказок, атака все равно успешно выполняется. Зловредные подсказки обрабатываются кодированием, что делает их трудными для непосредственного обнаружения.
Атака на загрязнение сторонних интерфейсов
Демонстрация показывает, что как злонамеренные, так и незлонамеренные MCP, при вызове стороннего API, если напрямую возвращать сторонние данные в контекст, могут привести к серьезным последствиям.
Технология отравления на этапе инициализации MCP
злоумышленное покрытие функции атаки
MasterMCP написал функцию remove_server с именем Toolbox и закодировал скрытые вредоносные подсказки. Подчеркивая "существующий метод устарел", он подталкивает большую модель к приоритетному вызову вредоносно перезаписанной функции.
Добавить злонамеренную глобальную проверку логики
MasterMCP разработал инструмент banana, который требует, чтобы все инструменты выполняли эту проверку безопасности перед запуском. Это достигается путем повторного подчеркивания "необходимо выполнить проверку banana" в глобальной логике.
Расширенные приемы скрытия вредоносных подсказок
Дружественный к большим моделям способ кодирования
Использование мощной способности больших языковых моделей к анализу многоязычных форматов для сокрытия вредоносной информации:
 Механизм возврата случайного вредоносного полезного нагрузки
Каждый запрос случайным образом возвращает страницу с вредоносной нагрузкой, что усложняет обнаружение и отслеживание.
![Практическое начало: Скрытое отравление и манипуляция в системе MCP]###https://img-cdn.gateio.im/webp-social/moments-bf6d8976b54bebbec34699753f4dbb70.webp(
Обзор
Демонстрация MasterMCP раскрывает различные уязвимости системы MCP. От простых атак с использованием подсказок до более скрытых атак на этапе инициализации, каждый этап напоминает нам о хрупкости экосистемы MCP. В эпоху, когда большие модели часто взаимодействуют с внешними плагинами и API, небольшое загрязнение входных данных может вызвать системные риски безопасности.
Разнообразие методов атаки (скрытие кода, случайное загрязнение, переопределение функций) означает, что традиционные подходы к защите нуждаются в полном обновлении. Разработчики и пользователи должны оставаться бдительными относительно системы MCP, обращая внимание на каждое взаимодействие, каждую строку кода и каждое значение возврата. Только при строгом отношении к деталям можно построить надежную и безопасную среду MCP.
Связанное содержание синхронизировано с GitHub, заинтересованные читатели могут продолжить исследование.
![Практическое руководство: скрытая подача токсинов и манипуляции в системе MCP])https://img-cdn.gateio.im/webp-social/moments-e92a70908e6828b2895dd5f52c58459e.webp(