MCP Seguridad: Demostración práctica de envenenamiento encubierto y manipulación

El actual MCP( Model Context Protocol) se encuentra en una etapa temprana de desarrollo, el entorno general es bastante caótico, y surgen constantemente diversos métodos de ataque potenciales, lo que dificulta el diseño de protocolos y herramientas existentes para defenderse de manera efectiva. Para ayudar a la comunidad a entender y mejorar la seguridad del MCP, un equipo de seguridad ha abierto el código de la herramienta MasterMCP, que tiene como objetivo ayudar a los desarrolladores a identificar oportunamente las vulnerabilidades de seguridad en el diseño del producto a través de simulaciones de ataques reales, y así fortalecer gradualmente el proyecto MCP.

Este artículo llevará a todos a practicar juntos, demostrando las formas comunes de ataque en el sistema MCP, como la intoxicación de información, instrucciones maliciosas ocultas y otros casos reales. Todos los scripts de demostración también se abrirán en GitHub, los desarrolladores podrán reproducir todo el proceso en un entorno seguro e incluso desarrollar sus propios complementos de pruebas de ataque basados en estos scripts.

Vista general de la arquitectura

Demostración del objetivo de ataque MCP:Toolbox

Un conocido sitio web de plugins MCP es una de las plataformas MCP más populares en la actualidad, que reúne una gran cantidad de listas de MCP y usuarios activos. Entre ellos, cierta herramienta oficial de gestión de MCP es una herramienta de gestión de MCP lanzada por esta plataforma.

Elige esta herramienta como objetivo de prueba, principalmente basado en los siguientes puntos:

• La base de usuarios es enorme y representativa
• Soporta la instalación automática de otros complementos, complementando algunas funciones del cliente
• Incluye configuraciones sensibles ( como la clave API ), facilitando la demostración.

MCP de demostración malicioso: MasterMCP

MasterMCP es una herramienta de simulación de MCP malicioso diseñada para pruebas de seguridad, que utiliza una arquitectura modular e incluye los siguientes módulos clave:

1. Simulación de servicios de sitios web locales:

Para reproducir de manera más realista los escenarios de ataque, MasterMCP incorpora un módulo de simulación de servicios web locales. Utiliza el marco FastAPI para construir rápidamente un servidor HTTP simple que simula un entorno web común. Estas páginas parecen normales a simple vista, como mostrar información de una pastelería o devolver datos JSON estándar, pero en realidad ocultan cargas maliciosas cuidadosamente diseñadas en el código fuente de la página o en las respuestas de la interfaz.

Este método permite demostrar de manera completa las técnicas de ataque como la inyección de información y el ocultamiento de instrucciones en un entorno local seguro y controlado, ayudando a comprender que incluso las páginas web que parecen ordinarias pueden convertirse en fuentes de riesgo que provocan que los modelos grandes ejecuten operaciones anómalas.

2. Arquitectura MCP local y modular

MasterMCP utiliza un enfoque modular para la expansión, lo que facilita la adición rápida de nuevas formas de ataque en el futuro. Una vez en funcionamiento, MasterMCP ejecutará el servicio FastAPI del módulo anterior en un subproceso. Aquí ya existe un riesgo de seguridad: los plugins locales pueden iniciar subprocesos que no son los esperados por MCP.

cliente de demostración

• Cursor: uno de los IDE de programación asistida por IA más populares del mundo
• Claude Desktop: Anthropic(MCP protocolo de personalización ) cliente oficial

modelo grande para demostración

• Claude 3.7

Elige la versión Claude 3.7, ya que ha mejorado en el reconocimiento de operaciones sensibles y representa una capacidad operativa bastante fuerte en el actual ecosistema MCP.

Demostración de llamada maliciosa de Cross-MCP

ataque de envenenamiento de contenido web

1. Inyección de comentarios

Acceda al sitio web de prueba local a través de Cursor, esta es una página aparentemente inofensiva de "Delicious Cake World".

Ejecutar orden:

Obtener el contenido de

Los resultados muestran que Cursor no solo leyó el contenido de la página web, sino que también devolvió datos de configuración sensibles locales al servidor de pruebas. En el código fuente, las palabras clave maliciosas se incrustan en forma de comentarios HTML.

Aunque el método de anotación es bastante directo y fácil de identificar, ya puede activar operaciones maliciosas.

2. Inyección de comentarios codificados

Visitar la página /encode, que es una página web que parece igual que el ejemplo anterior, pero en la que las palabras clave maliciosas han sido codificadas, lo que hace que la contaminación sea más oculta, incluso al revisar el código fuente de la página web es difícil detectarlo directamente.

Incluso si el código fuente no contiene palabras clave en texto claro, el ataque aún se ejecuta con éxito.

MCP herramienta devuelve información envenenada

Según la descripción de las palabras clave de MasterMCP, ingrese el comando simulado:

obtener muchas manzanas

Después de activar el comando, el cliente llamó a Toolbox a través de MCP y agregó con éxito un nuevo servidor MCP. Al revisar el código del complemento, se descubrió que los datos devueltos contenían una carga maliciosa codificada, casi imperceptible para el usuario.

ataque de contaminación de interfaces de terceros

Ejecutar solicitud:

Fetch json from /api/data

Resultado: se han insertado palabras clave maliciosas en los datos JSON devueltos y se ha activado con éxito la ejecución maliciosa.

Técnicas de envenenamiento en la fase de inicialización de MC

ataque de sobrescritura de funciones maliciosas

MasterMCP escribió una herramienta llamada remove_server, que tiene el mismo nombre que la función Toolbox, y codificó palabras clave maliciosas ocultas.

Ejecutar comando:

eliminar el complemento de búsqueda del servidor de la caja de herramientas

Claude Desktop no llamó al método remove_server original de toolbox, sino que activó el método homónimo proporcionado por MasterMCP.

El principio es enfatizar que "los métodos anteriores han sido desechados" y priorizar la inducción del modelo grande para llamar a funciones de sobreescritura maliciosas.

agregar lógica de verificación global maliciosa

MasterMCP escribió la herramienta banana, cuya función principal es forzar que todas las herramientas se ejecuten después de realizar una verificación de seguridad con esta herramienta.

Antes de cada ejecución de la función, el sistema siempre invoca primero el mecanismo de verificación de banana. Esto se logra mediante la reiteración en el código de "debe ejecutarse la verificación de banana" para inyectar la lógica global.

![Práctica: envenenamiento encubierto y manipulación en el sistema MCP](https://img-cdn.gateio.im/webp-social/moments-c5a25d6fa43a286a07b6a57c1a3f9605.webp01

Técnicas avanzadas para ocultar palabras clave maliciosas

) forma de codificación amigable para modelos grandes

Debido a la fuerte capacidad de análisis de los modelos de lenguaje de gran tamaño en formatos multilingües, esto se utiliza para ocultar información maliciosa, los métodos comunes incluyen:

• Entorno en inglés: usar codificación Hex Byte
• Entorno en chino: usar codificación NCR o codificación JavaScript

![Práctica: Envenenamiento y manipulación encubiertos en el sistema MCP]###https://img-cdn.gateio.im/webp-social/moments-bf6d8976b54bebbec34699753f4dbb70.webp(

) mecanismo de retorno de carga maliciosa aleatoria

Al solicitar /random, siempre se devuelve aleatoriamente una página con carga maliciosa, lo que aumenta considerablemente la dificultad de detección y rastreo.

![Práctica: envenenamiento encubierto y manipulación en el sistema MCP]###https://img-cdn.gateio.im/webp-social/moments-e92a70908e6828b2895dd5f52c58459e.webp(

Resumen

A través de la demostración práctica de MasterMCP, hemos visto de manera directa diversas vulnerabilidades ocultas en el sistema MCP. Desde la inyección de palabras clave simples, llamadas cruzadas de MCP, hasta ataques más encubiertos en la fase de inicialización y la ocultación de instrucciones maliciosas, cada etapa nos recuerda: aunque el ecosistema MCP es poderoso, también es vulnerable.

En la actualidad, donde los grandes modelos interactúan frecuentemente con plugins externos y APIs, una pequeña contaminación de entrada puede provocar riesgos de seguridad a nivel del sistema. La diversificación de las técnicas de ataque, como el ocultamiento de codificación ), contaminación aleatoria y la sobrescritura de funciones (, significa que las estrategias de defensa tradicionales deben actualizarse de manera integral.

Espero que esta demostración sirva como una llamada de atención para todos: tanto los desarrolladores como los usuarios deben mantenerse alerta respecto al sistema MCP, prestando atención a cada interacción, cada línea de código y cada valor devuelto. Solo al tratar con rigor cada detalle, se puede construir un entorno MCP sólido y seguro.

En el futuro, continuaremos mejorando el script MasterMCP, publicando más casos de prueba específicos para ayudar a comprender, practicar y fortalecer la protección en un entorno seguro.

El contenido relacionado se ha sincronizado con GitHub, los lectores interesados pueden acceder directamente para verlo.

![Práctica: envenenamiento encubierto y manipulación en el sistema MCP])https://img-cdn.gateio.im/webp-social/moments-3511b6cfff1a3f00017b7db6eb239002.webp(