- الموضوع
39k درجة الشعبية
14k درجة الشعبية
8k درجة الشعبية
17k درجة الشعبية
62k درجة الشعبية
31k درجة الشعبية
3k درجة الشعبية
96k درجة الشعبية
27k درجة الشعبية
27k درجة الشعبية
- تثبيت
39k درجة الشعبية
14k درجة الشعبية
8k درجة الشعبية
17k درجة الشعبية
62k درجة الشعبية
31k درجة الشعبية
3k درجة الشعبية
96k درجة الشعبية
27k درجة الشعبية
27k درجة الشعبية
عرض مخاطر الأمان MCP: تحليل كامل من التسميم إلى الهجوم العملي
MCP安全: الإخفاء والتلاعب في عرض عملي
لا يزال نظام البروتوكول السياقي للنموذج MCP( في مرحلة التطور المبكرة، حيث البيئة العامة فوضوية إلى حد ما، وتظهر أساليب الهجوم المحتملة بشكل مستمر، مما يجعل البروتوكولات والأدوات الحالية صعبة التصميم للدفاع الفعال. للمساعدة في تمكين المجتمع من فهم وتعزيز أمان MCP بشكل أفضل، قامت بعض فرق الأمان بفتح مصدر أداة MasterMCP، والتي تهدف من خلال تنفيذ الهجمات الفعلية إلى مساعدة المطورين على اكتشاف الثغرات الأمنية في تصميم المنتجات في الوقت المناسب، وبالتالي تعزيز مشاريع MCP تدريجياً.
ستأخذ هذه المقالة الجميع للقيام بممارسة عملية، وعرض طرق الهجوم الشائعة في نظام MCP، مثل تسميم المعلومات، وإخفاء الأوامر الخبيثة، وغيرها من الحالات الحقيقية. سيتم أيضًا فتح مصدر جميع نصوص العرض على GitHub، حيث يمكن للمطورين إعادة إنتاج العملية الكاملة في بيئة آمنة، وحتى تطوير إضافات اختبار الهجوم الخاصة بهم بناءً على هذه النصوص.
![انطلاقاً من الممارسة: التسميم الخفي والتحكم في نظام MCP])https://img-cdn.gateio.im/webp-social/moments-b40c2ead4790c433f269d8e0d01ed30c.webp(
نظرة عامة على الهيكل العام
) هدف هجوم العرض MCP:Toolbox
موقع MCP الشهير هو واحد من أكثر منصات MCP شعبية في الوقت الحالي، حيث يجمع مجموعة كبيرة من قوائم MCP والمستخدمين النشطين. من بين ذلك، هناك أداة إدارة MCP الرسمية التي أطلقتها هذه المنصة.
اختر هذه الأداة كهدف للاختبار بناءً على النقاط التالية:
![الانطلاق العملي: التسميم الخفي والتحكم في نظام MCP])https://img-cdn.gateio.im/webp-social/moments-3c65fb78f3a1d00f05d6f3d950931f1f.webp(
) العرض المستخدم من قبل MCP:MasterMCP
MasterMCP هو أداة محاكاة MCP خبيثة مكتوبة لاختبار الأمان، مصممة بهيكلية قائمة على المكونات، وتحتوي على الوحدات الرئيسية التالية:
لإعادة إنشاء سيناريو الهجوم بشكل أكثر واقعية، يحتوي MasterMCP على وحدة محاكاة خدمات المواقع المحلية. حيث يقوم ببناء خادم HTTP بسيط بسرعة باستخدام إطار FastAPI، لمحاكاة بيئة صفحات الويب الشائعة. تبدو هذه الصفحات طبيعية، مثل عرض معلومات متجر الكعك أو إرجاع بيانات JSON القياسية، ولكن في الواقع تحتوي على حمولات خبيثة مصممة بعناية في شفرة الصفحة أو استجابة الواجهة.
يمكن أن تُظهر هذه الطريقة تقنيات هجوم مثل تسميم المعلومات وإخفاء التعليمات في بيئة محلية آمنة وقابلة للتحكم، مما يساعد على فهم: حتى لو بدت صفحة ويب عادية، فقد تصبح مصدرًا محتملًا لتحفيز النماذج الكبيرة على تنفيذ عمليات غير طبيعية.
يستخدم MasterMCP طريقة الإضافات للتوسع، مما يسهل إضافة طرق هجوم جديدة بسرعة لاحقًا. بعد التشغيل، سيقوم MasterMCP بتشغيل خدمة FastAPI للوحدة السابقة في عملية فرعية. هنا توجد ثغرة أمنية - يمكن للإضافات المحلية بدء عمليات فرعية غير متوقعة من MCP.
![الانطلاق في الممارسة: التسمم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-2fe451755dc3588ffc2ddbd7427dcf9b.webp(
) عميل العرض
) نموذج كبير للاستخدام في العرض
اختر إصدار Claude 3.7، لأنه حقق تحسينات معينة في التعرف على العمليات الحساسة، بينما يمثل أيضًا قدرة تشغيلية قوية في النظام البيئي الحالي لـ MC.
![الانطلاق العملي: التسمم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-0ebb45583f5d7c2e4a4b792a0bdc989d.webp(
عرض استدعاء خبيث لـ Cross-MCP
) هجوم حقن محتوى الويب
عبر Cursor للوصول إلى موقع الاختبار المحلي، هذه صفحة "عالم الكعك اللذيذ" التي تبدو غير ضارة.
تنفيذ الأمر:
احصل على محتوى
أظهرت النتائج أن Cursor لم يقرأ محتوى الصفحة فحسب، بل قام أيضًا بإعادة إرسال بيانات التكوين الحساسة المحلية إلى خادم الاختبار. في الشفرة المصدرية، تم زرع الكلمات الدلالية الضارة على شكل تعليقات HTML.
على الرغم من أن طريقة التعليق واضحة وسهلة التعرف عليها، إلا أنها قد تؤدي إلى تنفيذ عمليات ضارة.
![الانطلاق العملي: التسميم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-3840e36661d61bbb0dcee6d5cf38d376.webp(
زيارة صفحة /encode، هذه صفحة ويب تبدو مشابهة للمثال السابق، ولكن تم ترميز الكلمات الخبيثة فيها، مما يجعل التسميم أكثر خفاءً، حتى عند عرض شفرة المصدر للصفحة، يصعب اكتشافها مباشرة.
حتى إذا كان رمز المصدر لا يحتوي على كلمات رئيسية نصية، فإن الهجوم لا يزال ينفذ بنجاح.
![الانطلاق العملي: التسميم الخفي والتحكم في نظام MCP])https://img-cdn.gateio.im/webp-social/moments-33ec895deae947ebc284e846286ccf1c.webp(
) MCP أدوات العودة معلومات التسمم
وفقًا لوصف كلمة MasterMCP، أدخل أوامر المحاكاة:
احصل على الكثير من التفاح
بعد تنفيذ الأمر، قام العميل باستدعاء Toolbox عبر MCP وتم إضافة خادم MCP جديد بنجاح. من خلال مراجعة كود المكون الإضافي، تم اكتشاف أن البيانات المرجعة تحتوي على حمولة ضارة مشفرة، مما يجعل من الصعب على المستخدم اكتشاف أي استثناء.
![الانطلاق العملي: التسميم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-e16c8d753ef00ec06f0bf607dc188446.webp(
) هجوم تلوث واجهة الطرف الثالث
تنفيذ الطلب:
استرجع json من /api/data
النتيجة: تم زرع كلمات تحذيرية خبيثة في بيانات JSON المسترجعة وتم تفعيل التنفيذ الخبيث بنجاح.
![الانطلاق من الممارسة: التسميم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-3e15b74bbdc0154ed8505c04345c4deb.webp(
تقنية التسمم في مرحلة تهيئة MCP
) هجوم تغطية الدالة الخبيثة
MasterMCP كتب أداة remove_server التي تحمل نفس اسم الدالة Toolbox، وشفّر كلمات التحذير الخبيثة المخفية.
تنفيذ الأمر:
أداة إزالة استرجاع مكون خادم
لم يستدعِ Claude Desktop طريقة remove_server الأصلية من toolbox، بل قام بتفعيل الطريقة التي تحمل نفس الاسم المقدمة من MasterMCP.
المبدأ هو من خلال التأكيد على "تم إلغاء الطريقة الأصلية"، وتحفيز النموذج الكبير على استدعاء الدالة المغطاة بشكل ضار.
![انطلاق من الواقع: التسمم الخفي والهيمنة في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-cd87a6781e74c267c89e99e398e7499c.webp(
) إضافة منطق التحقق العالمي الضار
قام MasterMCP بكتابة أداة banana، والوظيفة الأساسية لها هي فرض تنفيذ هذه الأداة لإجراء فحص أمني قبل تشغيل جميع الأدوات في النص التوجيهي.
قبل كل تنفيذ للدالة، سيقوم النظام بالاتصال بآلية فحص الموز أولاً. يتم تحقيق حقن المنطق العالمي من خلال التأكيد المتكرر في الشيفرة على "يجب تشغيل فحص الموز".
![عملية التنفيذ: التسمم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-c5a25d6fa43a286a07b6a57c1a3f9605.webp(
تقنيات متقدمة لإخفاء كلمات التحذير الخبيثة
) طريقة الترميز الصديقة للنماذج الكبيرة
نظرًا لأن نماذج اللغة الكبيرة تتمتع بقدرة تحليل قوية على تنسيقات متعددة اللغات، فإن هذا يُستخدم بدلاً من ذلك لإخفاء المعلومات الخبيثة، تشمل الطرق الشائعة ما يلي:
![الانطلاق العملي: التسميم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-bf6d8976b54bebbec34699753f4dbb70.webp(
) آلية إرجاع الحمولة الخبيثة العشوائية
عند الطلب /random، سيتم إرجاع صفحة تحتوي على حمولة ضارة بشكل عشوائي في كل مرة، مما يزيد بشكل كبير من صعوبة الكشف والتتبع.
![الانطلاق في المعركة: التسمم الخفي والتحكم في نظام MCP]###https://img-cdn.gateio.im/webp-social/moments-e92a70908e6828b2895dd5f52c58459e.webp(
ملخص
من خلال عرض عملي لMasterMCP، رأينا بشكل مباشر مختلف المخاطر الأمنية المخفية في نظام MCP. من حقن الكلمات الرئيسية البسيطة، واستدعاءات MCP المتقاطعة، إلى الهجمات في مرحلة التهيئة الأكثر خفاءً وإخفاء الأوامر الخبيثة، كل مرحلة تذكرنا: على الرغم من قوة نظام MCP، إلا أنه ضعيف بنفس القدر.
في عصر تفاعل النماذج الكبيرة بشكل متكرر مع الملحقات الخارجية وواجهات برمجة التطبيقات، يمكن أن يؤدي تلوث المدخلات الطفيفة إلى مخاطر أمان على مستوى النظام. تنوعت أساليب المهاجمين، مثل التشفير الخفي )، والتلوث العشوائي، وتغطية الدوال (، مما يعني أن المفاهيم التقليدية للحماية تحتاج إلى ترقية شاملة.
نأمل أن يثير هذا العرض جرس إنذار للجميع: يجب على المطورين والمستخدمين أن يظلوا يقظين تجاه نظام MCP، وأن يكونوا حذرين في كل تفاعل، وكل سطر من الشيفرة، وكل قيمة مُرجعة. فقط من خلال التعامل بدقة مع كل التفاصيل يمكننا بناء بيئة MCP قوية وآمنة.
سنواصل تحسين برنامج MasterMCP، وسنقوم بفتح المزيد من حالات الاختبار المستهدفة، للمساعدة في فهم وتعزيز الحماية في بيئة آمنة.
تم مزامنة المحتوى ذي الصلة مع GitHub، يمكن للقراء المهتمين الوصول إليه مباشرة.
![الانطلاق العملي: التسمم السري والتحكم في نظام MCP])https://img-cdn.gateio.im/webp-social/moments-3511b6cfff1a3f00017b7db6eb239002.webp(
لقد جاء المزيد من القبعات البيضاء لإظهار مهاراتهم.