Những rủi ro an ninh và trình diễn tấn công của hệ thống MCP

MCP ( Mô hình bối cảnh giao thức) Hệ thống hiện vẫn đang ở giai đoạn phát triển sớm, môi trường tổng thể khá hỗn loạn, nhiều phương thức tấn công tiềm năng xuất hiện liên tục. Để nâng cao tính bảo mật của MCP, Slow Mist đã mã nguồn mở công cụ MasterMCP, thông qua các bài thực hành tấn công thực tế để giúp phát hiện các lỗ hổng bảo mật trong thiết kế sản phẩm. Bài viết này sẽ trình bày các phương thức tấn công phổ biến trong hệ thống MCP, như tiêm thông tin độc hại, ẩn chứa lệnh độc hại và các trường hợp thực tế khác.

Tổng quan kiến trúc tổng thể

Mục tiêu tấn công MCP: Toolbox

Toolbox là công cụ quản lý MCP chính thức được phát hành bởi smithery.ai, lựa chọn nó làm mục tiêu thử nghiệm chủ yếu dựa trên các điểm sau:

• Cơ sở người dùng lớn, có tính đại diện
• Hỗ trợ cài đặt tự động các plugin khác, bổ sung một số chức năng của client
• Bao gồm cấu hình nhạy cảm, thuận tiện cho việc trình bày

Ác ý MCP：MasterMCP

MasterMCP là công cụ mô phỏng MCP độc hại được thiết kế đặc biệt cho các bài kiểm tra an ninh, sử dụng kiến trúc plugin và bao gồm các mô-đun chính sau:

1. Mô phỏng dịch vụ trang web địa phương: Xây dựng máy chủ HTTP đơn giản thông qua khung FastAPI, mô phỏng môi trường trang web phổ biến.

2. Kiến trúc MCP cắm địa phương: Sử dụng cách thức cắm để mở rộng, thuận tiện cho việc nhanh chóng thêm các phương thức tấn công mới.

Ứng dụng demo

• Cursor：Một trong những IDE lập trình hỗ trợ AI phổ biến toàn cầu
• Claude Desktop：Khách hàng chính thức của Anthropic

mô hình lớn được sử dụng để trình diễn

• Claude 3.7

Cross-MCP gọi ác ý

tấn công tiêm nhiễm nội dung web

1. Tiêm nhiễm theo dạng chú thích

Bằng cách nhúng từ khóa độc hại dưới dạng chú thích HTML trong mã nguồn của trang web, đã kích hoạt thành công các thao tác độc hại.

2. Tiêm độc bình luận kiểu mã

Ngay cả khi mã nguồn không chứa từ khóa rõ ràng, cuộc tấn công vẫn thành công. Từ khóa độc hại đã được mã hóa, khó phát hiện trực tiếp.

Tấn công ô nhiễm giao diện bên thứ ba

Các bản trình diễn cho thấy, dù là MCP ác ý hay không ác ý, khi gọi API bên thứ ba, nếu trực tiếp trả dữ liệu bên thứ ba vào ngữ cảnh, điều này có thể gây ra ảnh hưởng nghiêm trọng.

Kỹ thuật tiêm nhiễm giai đoạn khởi tạo MCP

tấn công ghi đè hàm ác ý

MasterMCP đã viết một hàm remove_server có tên giống như Toolbox, và mã hóa để ẩn các từ khóa độc hại. Bằng cách nhấn mạnh "phương pháp ban đầu đã bị loại bỏ", đã dụ dỗ mô hình lớn gọi hàm bị ghi đè độc hại trước.

thêm logic kiểm tra toàn cầu độc hại

MasterMCP đã viết một công cụ banana, yêu cầu tất cả các công cụ phải thực hiện công cụ này để kiểm tra an toàn trước khi chạy. Điều này được thực hiện thông qua việc nhấn mạnh "phải chạy kiểm tra banana" như một sự tiêm logic toàn cầu.

Kỹ thuật nâng cao để ẩn các từ gợi ý độc hại

cách mã hóa thân thiện với mô hình lớn

Sử dụng khả năng phân tích mạnh mẽ của mô hình ngôn ngữ lớn để ẩn thông tin độc hại trong định dạng đa ngôn ngữ:

• Môi trường tiếng Anh: Sử dụng mã Hex Byte
• Môi trường tiếng Trung: Sử dụng mã NCR hoặc mã JavaScript

![Thực chiến khởi đầu: Đầu độc ẩn giấu và thao túng trong hệ thống MCP](https://img-cdn.gateio.im/webp-social/moments-c5a25d6fa43a286a07b6a57c1a3f9605.webp01

) cơ chế trả về tải trọng độc hại ngẫu nhiên

Mỗi lần yêu cầu đều ngẫu nhiên trả về trang có tải trọng độc hại, làm tăng độ khó của việc phát hiện và truy tìm nguồn gốc.

![Thực chiến khởi đầu: Đầu độc và thao túng ẩn giấu trong hệ thống MCP]###https://img-cdn.gateio.im/webp-social/moments-bf6d8976b54bebbec34699753f4dbb70.webp(

Tóm tắt

Bài trình diễn thực chiến của MasterMCP đã tiết lộ nhiều mối nguy hiểm về an ninh trong hệ thống MCP. Từ việc tiêm mã lệnh đơn giản đến các cuộc tấn công ở giai đoạn khởi tạo kín đáo hơn, mỗi khâu đều nhắc nhở chúng ta về sự mong manh của hệ sinh thái MCP. Trong thời đại mà các mô hình lớn thường xuyên tương tác với các plugin bên ngoài và API, một chút ô nhiễm đầu vào có thể gây ra rủi ro an ninh ở cấp hệ thống.

Sự đa dạng trong các phương thức tấn công (ẩn mã, ô nhiễm ngẫu nhiên, ghi đè hàm) có nghĩa là cách bảo vệ truyền thống cần phải được nâng cấp toàn diện. Các nhà phát triển và người sử dụng đều nên cảnh giác với hệ thống MCP, chú ý đến từng tương tác, từng dòng mã, từng giá trị trả về. Chỉ khi nghiêm túc với từng chi tiết, chúng ta mới có thể xây dựng một môi trường MCP vững chắc và an toàn.

Nội dung liên quan đã được đồng bộ lên GitHub, độc giả quan tâm có thể khám phá thêm.

![Thực chiến khởi đầu: Sự đầu độc và thao túng ẩn giấu trong hệ thống MCP])https://img-cdn.gateio.im/webp-social/moments-e92a70908e6828b2895dd5f52c58459e.webp(