MCP體系的安全隱患與攻擊演示

MCP (Model Context Protocol) 體系目前仍處於早期發展階段，整體環境較爲混沌，各種潛在的攻擊方式層出不窮。爲了提升 MCP 的安全性，慢霧開源了 MasterMCP 工具，通過實際攻擊演練幫助發現產品設計中的安全隱患。本文將演示 MCP 體系下的常見攻擊方式，如信息投毒、隱匿惡意指令等真實案例。

整體架構概覽

攻擊目標 MCP：Toolbox

Toolbox 是 smithery.ai 官方推出的 MCP 管理工具，選擇它作爲測試目標主要基於以下幾點：

• 用戶基數龐大，具有代表性
• 支持自動安裝其他插件，補充部分客戶端功能
• 包含敏感配置，便於進行演示

惡意 MCP：MasterMCP

MasterMCP 是專門爲安全測試編寫的模擬惡意 MCP 工具，採用插件化架構設計，包含以下關鍵模塊：

1. 本地網站服務模擬：通過 FastAPI 框架搭建簡易 HTTP 服務器，模擬常見網頁環境。

2. 本地插件化 MCP 架構：採用插件化方式進行拓展，便於快速添加新的攻擊方式。

演示客戶端

• Cursor：全球流行的 AI 輔助編程 IDE 之一
• Claude Desktop：Anthropic 官方客戶端

演示使用的大模型

• Claude 3.7

Cross-MCP 惡意調用

網頁內容投毒攻擊

1. 注釋型投毒

通過在網頁源碼中植入 HTML 注釋形式的惡意提示詞，成功觸發了惡意操作。

2. 編碼型注釋投毒

即使原始碼不含明文提示詞，攻擊依舊成功執行。惡意提示詞經過編碼處理，難以直接察覺。

第三方接口污染攻擊

演示表明，無論是惡意還是非惡意的 MCP，在調用第三方 API 時，如果直接將第三方數據返回到上下文，都可能帶來嚴重影響。

MCP 初始化階段的投毒技術

惡意函數覆蓋攻擊

MasterMCP 編寫了一個與 Toolbox 同名的 remove_server 函數，並編碼隱藏了惡意提示詞。通過強調"原有方法已廢棄"，誘導大模型優先調用惡意覆蓋的函數。

添加惡意全局檢查邏輯

MasterMCP 編寫了一個 banana 工具，在提示詞中強制所有工具運行前都必須執行該工具進行安全檢查。這是通過反復強調"必須運行 banana 檢測"來實現的全局邏輯注入。

隱藏惡意提示詞的進階技巧

大模型友好的編碼方式

利用大語言模型對多語言格式的強大解析能力來隱藏惡意信息：

• 英文環境：使用 Hex Byte 編碼
• 中文環境：使用 NCR 編碼或 JavaScript 編碼

隨機惡意載荷返回機制

每次請求都隨機返回帶有惡意載荷的頁面，增加檢測與溯源的難度。

總結

MasterMCP 的實戰演示揭示了 MCP 體系中的各種安全隱患。從簡單的提示詞注入到更隱蔽的初始化階段攻擊，每個環節都提醒我們 MCP 生態的脆弱性。在大模型頻繁與外部插件、API 交互的今天，小小的輸入污染可能引發系統級安全風險。

攻擊者手段的多樣化（編碼隱藏、隨機污染、函數覆蓋）意味着傳統防護思路需要全面升級。開發者和使用者都應對 MCP 體系保持警惕，關注每一次交互、每一行代碼、每一個返回值。只有在細節上嚴謹對待，才能構築穩固、安全的 MCP 環境。

相關內容已同步至 GitHub，感興趣的讀者可進一步探索。