MCP (Modelo de Contexto do Protocolo) O sistema encontra-se atualmente numa fase inicial de desenvolvimento, com um ambiente global bastante caótico, e várias formas potenciais de ataque a emergir, tornando difícil a defesa eficaz com os protocolos e ferramentas existentes. Para melhorar a segurança do MCP, uma empresa de segurança abriu o código-fonte da ferramenta MasterMCP, ajudando a identificar vulnerabilidades de segurança no design do produto através de exercícios práticos de ataque, fortalecendo assim o projeto MCP.
Este artigo irá demonstrar as formas comuns de ataque no sistema MCP, como envenenamento de informação, instruções maliciosas ocultas e outros casos reais. Todos os scripts de demonstração também serão open source, podendo ser reproduzido todo o processo em um ambiente seguro, e até mesmo desenvolver os seus próprios plugins de teste de ataque com base nesses scripts.
Visão Geral da Arquitetura
Demonstração do alvo de ataque MCP:Toolbox
Uma ferramenta oficial de gestão de MCP lançada por um conhecido site de plugins MCP. A escolha do Toolbox como alvo de testes baseia-se principalmente em: uma grande base de utilizadores, representativa; suporte para instalação automática de outros plugins; inclui configurações sensíveis, facilitando a demonstração.
Demonstração de uso do MCP malicioso: MasterMCP
MasterMCP é uma ferramenta de simulação de MCP malicioso desenvolvida especificamente para testes de segurança, com uma arquitetura de design modular, que inclui os seguintes módulos-chave:
Simulação de serviços de site local:
Criar um servidor HTTP simples usando o framework FastAPI, simulando um ambiente de página web comum. Estas páginas parecem normais, mas na verdade escondem cargas maliciosas cuidadosamente projetadas no código-fonte ou nas respostas da interface.
Arquitetura MCP modular local
O MasterMCP utiliza uma abordagem modular para se expandir, permitindo a adição rápida de novas formas de ataque. Após a execução, um serviço FastAPI será executado em um subprocesso.
Cliente de Demonstração
Cursor: uma das IDEs de programação assistidas por IA mais populares do mundo
Claude Desktop: Cliente oficial da Anthropic
modelo grande de demonstração
Claude 3.7
Escolha esta versão devido às melhorias na identificação de operações sensíveis, ao mesmo tempo que representa uma capacidade de operação bastante forte no atual ecossistema MCP.
Invocação Maliciosa Cross-MCP
ataque de envenenamento de conteúdo da web
Injeção de código de comentário
O cursor acede ao site de testes local, esta é uma página aparentemente inofensiva "Delicious Cake World".
Executar comando:
Buscar o conteúdo de
Os resultados mostram que o Cursor não apenas leu o conteúdo da página da web, mas também enviou dados de configuração sensíveis locais de volta ao servidor de teste. No código-fonte, as palavras-chave maliciosas foram inseridas na forma de comentários HTML.
Injeção de comentários codificados
A página de acesso/encode parece idêntica ao exemplo anterior, mas as palavras-chave maliciosas foram codificadas, tornando-se mais ocultas.
Mesmo que o código-fonte não contenha palavras-chave em texto claro, o ataque ainda será executado com sucesso.
Informação de retorno da ferramenta MCP de envenenamento
inserir comando simulado: obter muitas maçãs
Após acionar o comando, o cliente chamou o Toolbox através do MCP e adicionou com sucesso um novo servidor MCP.
ataque de poluição de interface de terceiros
Executar pedido:
Buscar json de /api/data
Resultado: palavras-chave maliciosas foram inseridas nos dados JSON retornados e ativaram com sucesso a execução maliciosa.
Técnica de envenenamento na fase de inicialização do MCP
ataque de sobreposição de função maliciosa
MasterMCP escreveu uma função remove_server com o mesmo nome que Toolbox e codificou palavras-chave maliciosas ocultas.
Executar instruções:
remover plugin de busca do servidor da caixa de ferramentas
Claude Desktop não chamou o método remove_server da toolbox original, mas sim disparou o método homônimo fornecido pelo MasterMCP.
O princípio é enfatizar que "os métodos anteriores foram abandonados", priorizando a indução de grandes modelos a chamar funções de sobreposição maliciosa.
Adicionar lógica de verificação global maliciosa
O MasterMCP escreveu a ferramenta banana, obrigando todas as ferramentas a serem executadas após a realização desta ferramenta para verificação de segurança.
Antes de executar a função, o sistema sempre chama prioritariamente o mecanismo de verificação banana. Isso é realizado através da injeção de lógica global que enfatiza repetidamente no código que "a verificação banana deve ser executada."
Técnicas Avançadas para Ocultar Palavras-Passe Maliciosas
forma de codificação amigável para grandes modelos
Ambiente em inglês: usar codificação Hex Byte
Ambiente em chinês: usar codificação NCR ou codificação JavaScript
Mecanismo de retorno de carga maliciosa aleatória
Quando a solicitação /random é feita, uma página com carga maliciosa é retornada aleatoriamente a cada vez, aumentando significativamente a dificuldade de detecção e rastreamento.
Resumo
Através da demonstração prática do MasterMCP, vimos de forma intuitiva os vários riscos de segurança ocultos no sistema MCP. Desde injeções simples de palavras-chave, chamadas cruzadas de MCP, até ataques mais ocultos na fase de inicialização e ocultação de instruções maliciosas, cada etapa nos lembra: embora o ecossistema MCP seja poderoso, também é vulnerável.
Espero que esta demonstração sirva de alerta para todos: tanto desenvolvedores quanto usuários devem manter uma vigilância suficiente sobre o sistema MCP, prestando atenção a cada interação, cada linha de código e cada valor retornado. Somente tratando cada detalhe com rigor, podemos realmente construir um ambiente MCP sólido e seguro.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
13 gostos
Recompensa
13
5
Republicar
Partilhar
Comentar
0/400
BagHolderTillRetire
· 12h atrás
A segurança não é boa, é um buraco tão grande.
Ver originalResponder0
DogeBachelor
· 12h atrás
Armadilhas demais, poucos confiáveis.
Ver originalResponder0
CafeMinor
· 12h atrás
No início havia muitas falhas.
Ver originalResponder0
GamefiHarvester
· 12h atrás
A verdadeira intoxicação está tão avançada assim? Este contrato está sendo afetado por um toque de rusticidade.
Análise Profundidade dos Riscos de Segurança do Ecossistema MCP: Revelação Completa de Métodos de Envenenamento Ocultos e Manipulação
Envenenamento e Manipulação Oculta no Sistema MCP
MCP (Modelo de Contexto do Protocolo) O sistema encontra-se atualmente numa fase inicial de desenvolvimento, com um ambiente global bastante caótico, e várias formas potenciais de ataque a emergir, tornando difícil a defesa eficaz com os protocolos e ferramentas existentes. Para melhorar a segurança do MCP, uma empresa de segurança abriu o código-fonte da ferramenta MasterMCP, ajudando a identificar vulnerabilidades de segurança no design do produto através de exercícios práticos de ataque, fortalecendo assim o projeto MCP.
Este artigo irá demonstrar as formas comuns de ataque no sistema MCP, como envenenamento de informação, instruções maliciosas ocultas e outros casos reais. Todos os scripts de demonstração também serão open source, podendo ser reproduzido todo o processo em um ambiente seguro, e até mesmo desenvolver os seus próprios plugins de teste de ataque com base nesses scripts.
Visão Geral da Arquitetura
Demonstração do alvo de ataque MCP:Toolbox
Uma ferramenta oficial de gestão de MCP lançada por um conhecido site de plugins MCP. A escolha do Toolbox como alvo de testes baseia-se principalmente em: uma grande base de utilizadores, representativa; suporte para instalação automática de outros plugins; inclui configurações sensíveis, facilitando a demonstração.
Demonstração de uso do MCP malicioso: MasterMCP
MasterMCP é uma ferramenta de simulação de MCP malicioso desenvolvida especificamente para testes de segurança, com uma arquitetura de design modular, que inclui os seguintes módulos-chave:
Criar um servidor HTTP simples usando o framework FastAPI, simulando um ambiente de página web comum. Estas páginas parecem normais, mas na verdade escondem cargas maliciosas cuidadosamente projetadas no código-fonte ou nas respostas da interface.
O MasterMCP utiliza uma abordagem modular para se expandir, permitindo a adição rápida de novas formas de ataque. Após a execução, um serviço FastAPI será executado em um subprocesso.
Cliente de Demonstração
modelo grande de demonstração
Escolha esta versão devido às melhorias na identificação de operações sensíveis, ao mesmo tempo que representa uma capacidade de operação bastante forte no atual ecossistema MCP.
Invocação Maliciosa Cross-MCP
ataque de envenenamento de conteúdo da web
O cursor acede ao site de testes local, esta é uma página aparentemente inofensiva "Delicious Cake World".
Executar comando:
Buscar o conteúdo de
Os resultados mostram que o Cursor não apenas leu o conteúdo da página da web, mas também enviou dados de configuração sensíveis locais de volta ao servidor de teste. No código-fonte, as palavras-chave maliciosas foram inseridas na forma de comentários HTML.
A página de acesso/encode parece idêntica ao exemplo anterior, mas as palavras-chave maliciosas foram codificadas, tornando-se mais ocultas.
Mesmo que o código-fonte não contenha palavras-chave em texto claro, o ataque ainda será executado com sucesso.
Informação de retorno da ferramenta MCP de envenenamento
inserir comando simulado: obter muitas maçãs
Após acionar o comando, o cliente chamou o Toolbox através do MCP e adicionou com sucesso um novo servidor MCP.
ataque de poluição de interface de terceiros
Executar pedido:
Buscar json de /api/data
Resultado: palavras-chave maliciosas foram inseridas nos dados JSON retornados e ativaram com sucesso a execução maliciosa.
Técnica de envenenamento na fase de inicialização do MCP
ataque de sobreposição de função maliciosa
MasterMCP escreveu uma função remove_server com o mesmo nome que Toolbox e codificou palavras-chave maliciosas ocultas.
Executar instruções:
remover plugin de busca do servidor da caixa de ferramentas
Claude Desktop não chamou o método remove_server da toolbox original, mas sim disparou o método homônimo fornecido pelo MasterMCP.
O princípio é enfatizar que "os métodos anteriores foram abandonados", priorizando a indução de grandes modelos a chamar funções de sobreposição maliciosa.
Adicionar lógica de verificação global maliciosa
O MasterMCP escreveu a ferramenta banana, obrigando todas as ferramentas a serem executadas após a realização desta ferramenta para verificação de segurança.
Antes de executar a função, o sistema sempre chama prioritariamente o mecanismo de verificação banana. Isso é realizado através da injeção de lógica global que enfatiza repetidamente no código que "a verificação banana deve ser executada."
Técnicas Avançadas para Ocultar Palavras-Passe Maliciosas
forma de codificação amigável para grandes modelos
Mecanismo de retorno de carga maliciosa aleatória
Quando a solicitação /random é feita, uma página com carga maliciosa é retornada aleatoriamente a cada vez, aumentando significativamente a dificuldade de detecção e rastreamento.
Resumo
Através da demonstração prática do MasterMCP, vimos de forma intuitiva os vários riscos de segurança ocultos no sistema MCP. Desde injeções simples de palavras-chave, chamadas cruzadas de MCP, até ataques mais ocultos na fase de inicialização e ocultação de instruções maliciosas, cada etapa nos lembra: embora o ecossistema MCP seja poderoso, também é vulnerável.
Espero que esta demonstração sirva de alerta para todos: tanto desenvolvedores quanto usuários devem manter uma vigilância suficiente sobre o sistema MCP, prestando atenção a cada interação, cada linha de código e cada valor retornado. Somente tratando cada detalhe com rigor, podemos realmente construir um ambiente MCP sólido e seguro.