MCP Keamanan: Demonstrasi Praktis Penyuntikan Tersembunyi dan Manipulasi

Protokol Konteks Model MCP( saat ini masih berada di tahap pengembangan awal, dengan lingkungan keseluruhan yang cukup kacau, berbagai potensi metode serangan muncul satu demi satu, dan desain protokol serta alat yang ada sulit untuk mempertahankan diri secara efektif. Untuk membantu komunitas lebih memahami dan meningkatkan keamanan MCP, sebuah tim keamanan telah mengeluarkan alat MasterMCP sebagai sumber terbuka, yang bertujuan untuk membantu pengembang menemukan masalah keamanan dalam desain produk melalui latihan serangan nyata, sehingga secara bertahap memperkuat proyek MCP.

Artikel ini akan membawa semua orang untuk melakukan praktik langsung, mendemonstrasikan cara serangan umum dalam sistem MCP, seperti pencemaran informasi, perintah jahat tersembunyi, dan kasus nyata lainnya. Semua skrip demonstrasi juga akan diopen source di GitHub, pengembang dapat mereproduksi seluruh proses di lingkungan yang aman, bahkan mengembangkan plugin pengujian serangan mereka sendiri berdasarkan skrip-skrip ini.

![Praktik: Penyebaran Tersembunyi dan Manipulasi dalam Sistem MCP])https://img-cdn.gateio.im/webp-social/moments-b40c2ead4790c433f269d8e0d01ed30c.webp(

Tinjauan Arsitektur Keseluruhan

) Demonstrasi Target Serangan MCP: Toolbox

Salah satu situs plugin MCP terkenal adalah salah satu platform MCP yang paling populer saat ini, yang mengumpulkan banyak daftar MCP dan pengguna aktif. Di antaranya, alat manajemen MCP resmi adalah alat manajemen MCP yang diluncurkan oleh platform tersebut.

Pilih alat ini sebagai sasaran pengujian, terutama berdasarkan hal-hal berikut:

• Basis pengguna yang besar, memiliki perwakilan
• Mendukung instalasi otomatis plugin lainnya, melengkapi beberapa fungsi klien
• Termasuk konfigurasi sensitif ### seperti API Key (, memudahkan untuk melakukan demonstrasi

![Praktik Langsung: Penyebaran Tersembunyi dan Pengendalian dalam Sistem MCP])https://img-cdn.gateio.im/webp-social/moments-3c65fb78f3a1d00f05d6f3d950931f1f.webp(

) contoh penggunaan MCP jahat: MasterMCP

MasterMCP adalah alat simulasi MCP jahat yang dirancang untuk pengujian keamanan, menggunakan arsitektur berbasis plugin, dan mencakup modul kunci berikut:

1. Simulasi layanan situs web lokal:

Untuk mereplikasi skenario serangan dengan lebih realistis, MasterMCP dilengkapi dengan modul simulasi layanan situs web lokal. Ini dengan cepat membangun server HTTP sederhana menggunakan kerangka FastAPI, mensimulasikan lingkungan halaman web yang umum. Halaman-halaman ini tampak normal di permukaan, seperti menampilkan informasi toko kue atau mengembalikan data JSON standar, tetapi sebenarnya menyimpan muatan jahat yang dirancang dengan cermat dalam kode sumber halaman atau respons antarmuka.

Metode ini dapat mendemonstrasikan secara lengkap teknik serangan seperti pencemaran informasi dan penyembunyian instruksi dalam lingkungan lokal yang aman dan terkontrol, membantu pemahaman: bahkan halaman web yang tampak biasa, dapat menjadi sumber risiko yang memicu model besar untuk melakukan operasi yang tidak biasa.

2. Arsitektur MCP yang terplug-in secara lokal

MasterMCP menggunakan metode plugin untuk pengembangan, memudahkan penambahan cepat cara serangan baru di masa mendatang. Setelah dijalankan, MasterMCP akan menjalankan layanan FastAPI dari modul sebelumnya di proses anak. Di sini sudah ada risiko keamanan - plugin lokal dapat memulai proses anak yang tidak diharapkan oleh MCP.

![Praktik Langsung: Penyuntikan dan Manipulasi Tersembunyi dalam Sistem MCP]###https://img-cdn.gateio.im/webp-social/moments-2fe451755dc3588ffc2ddbd7427dcf9b.webp(

) Klien Demonstrasi

• Cursor: salah satu IDE pemrograman yang dibantu AI paling populer di dunia saat ini
• Claude Desktop: Anthropic###MCProtokol Kustom(Klien Resmi

) model besar yang digunakan untuk demonstrasi

• Claude 3.7

Pilih versi Claude 3.7, karena telah ada perbaikan tertentu dalam pengenalan operasi sensitif, sekaligus mewakili kemampuan operasi yang cukup kuat dalam ekosistem MCP saat ini.

![Praktik Langsung: Penyuntikan Tersembunyi dan Manipulasi dalam Sistem MCP]###https://img-cdn.gateio.im/webp-social/moments-0ebb45583f5d7c2e4a4b792a0bdc989d.webp(

Demonstrasi Panggilan Jahat Cross-MCP

) serangan racun konten web

1. Poisoning tipe komentar

Akses situs uji lokal melalui Cursor, ini adalah halaman "Dunia Kue Lezat" yang tampaknya tidak berbahaya.

Eksekusi perintah:

Ambil konten dari

Hasil menunjukkan, Cursor tidak hanya membaca konten halaman web, tetapi juga mengirimkan data konfigurasi sensitif lokal kembali ke server pengujian. Dalam kode sumber, kata-kata yang berbahaya disisipkan dalam bentuk komentar HTML.

Meskipun cara penjelasannya cukup jelas dan mudah dikenali, tetapi sudah bisa memicu tindakan jahat.

![Praktik Langsung: Intoksikasi Tersembunyi dan Manipulasi dalam Sistem MCP]###https://img-cdn.gateio.im/webp-social/moments-3840e36661d61bbb0dcee6d5cf38d376.webp(

2. Penyuntikan komentar berbasis kode

Kunjungi halaman /encode, ini adalah halaman web yang terlihat sama dengan contoh di atas, tetapi kata kunci berbahaya telah dienkode, membuat penyuntikan lebih tersembunyi, bahkan sulit untuk langsung menyadarinya meskipun melihat kode sumber halaman.

Bahkan jika kode sumber tidak mengandung kata kunci dalam teks biasa, serangan tetap berhasil dilakukan.

![Berkelanjutan Praktis: Pencemaran Tersembunyi dan Manipulasi dalam Sistem MCP])https://img-cdn.gateio.im/webp-social/moments-33ec895deae947ebc284e846286ccf1c.webp(

) MCP alat mengembalikan informasi racun

Masukkan perintah simulasi sesuai dengan penjelasan kata kunci MasterMCP:

dapat banyak apel

Setelah perintah dipicu, klien melakukan panggilan lintas MCP ke Toolbox dan berhasil menambahkan server MCP baru. Memeriksa kode plugin menemukan bahwa data yang dikembalikan telah disematkan dengan muatan berbahaya yang telah diproses, yang hampir tidak dapat dideteksi oleh pengguna.

![Praktik Langsung: Pencemaran Tersembunyi dan Manipulasi dalam Sistem MCP]###https://img-cdn.gateio.im/webp-social/moments-e16c8d753ef00ec06f0bf607dc188446.webp(

) Serangan pencemaran antarmuka pihak ketiga

Eksekusi permintaan:

Ambil json dari /api/data

Hasil: Kata kunci berbahaya telah disisipkan ke dalam data JSON yang dikembalikan dan berhasil memicu eksekusi berbahaya.

![Praktik: Penyimpangan dan Manipulasi Tersembunyi dalam Sistem MCP]###https://img-cdn.gateio.im/webp-social/moments-3e15b74bbdc0154ed8505c04345c4deb.webp(

Teknik Poisoning pada Tahap Inisialisasi MCP

) serangan penutupan fungsi jahat

MasterMCP telah menulis alat remove_server dengan nama yang sama dengan Toolbox, dan telah menyandi kata kunci jahat yang tersembunyi.

Eksekusi perintah:

kotak alat hapus ambil plugin server

Claude Desktop tidak memanggil metode remove_server toolbox yang asli, melainkan memicu metode dengan nama yang sama yang disediakan oleh MasterMCP.

Prinsipnya adalah dengan menekankan "metode yang ada telah dibuang", lebih mengutamakan untuk mengarahkan model besar untuk memanggil fungsi yang ditimpa secara jahat.

![Praktik: Penyebaran Tersembunyi dan Manipulasi dalam Sistem MCP]###https://img-cdn.gateio.im/webp-social/moments-cd87a6781e74c267c89e99e398e7499c.webp(

) Tambahkan logika pemeriksaan global yang jahat

MasterMCP telah menulis alat banana, dengan fungsi utama memaksa semua alat untuk menjalankan alat ini terlebih dahulu untuk pemeriksaan keamanan sebelum menjalankan kata kunci.

Sebelum setiap kali fungsi dieksekusi, sistem akan mengutamakan mekanisme pemeriksaan banana. Ini dicapai dengan menekankan berulang kali dalam kode "harus menjalankan deteksi banana" untuk mewujudkan injeksi logika global.

![Praktik Dimulai: Penyuntikan dan Pengendalian Tersembunyi dalam Sistem MCP]###https://img-cdn.gateio.im/webp-social/moments-c5a25d6fa43a286a07b6a57c1a3f9605.webp01

Teknik Lanjutan untuk Menyembunyikan Kata Kunci Berbahaya

( cara pengkodean yang ramah model besar

Karena model bahasa besar memiliki kemampuan analisis yang sangat kuat terhadap format multibahasa, ini justru dimanfaatkan untuk menyembunyikan informasi jahat, metode yang umum digunakan termasuk:

• Lingkungan Inggris: menggunakan pengkodean Hex Byte
• Lingkungan Cina: menggunakan encoding NCR atau encoding JavaScript

![Praktik: Pencemaran Tersembunyi dan Manipulasi dalam Sistem MCP])https://img-cdn.gateio.im/webp-social/moments-bf6d8976b54bebbec34699753f4dbb70.webp###

( mekanisme pengembalian muatan berbahaya acak

Saat permintaan /random, setiap kali akan secara acak mengembalikan halaman dengan muatan berbahaya, secara signifikan meningkatkan kesulitan deteksi dan pelacakan.

![Berkelanjutan Praktis: Penyuntikan Tersembunyi dan Manipulasi dalam Sistem MCP])https://img-cdn.gateio.im/webp-social/moments-e92a70908e6828b2895dd5f52c58459e.webp###

Ringkasan

Melalui demonstrasi praktis MasterMCP, kami secara langsung melihat berbagai potensi risiko keamanan yang tersembunyi dalam sistem MCP. Dari injeksi kata kunci sederhana, panggilan lintas MCP, hingga serangan tahap inisialisasi yang lebih terselubung dan penyembunyian instruksi jahat, setiap tahap mengingatkan kami: meskipun ekosistem MCP sangat kuat, ia juga rentan.

Di era di mana model besar sering berinteraksi dengan plugin eksternal dan API, pencemaran input kecil dapat memicu risiko keamanan tingkat sistem. Beragam metode penyerangan seperti penyembunyian encoding (, pencemaran acak, dan penutupan fungsi ) berarti bahwa pendekatan perlindungan tradisional perlu ditingkatkan secara menyeluruh.

Semoga demonstrasi ini dapat menjadi peringatan bagi semua: pengembang dan pengguna harus tetap waspada terhadap sistem MCP, memperhatikan setiap interaksi, setiap baris kode, dan setiap nilai kembali. Hanya dengan memperhatikan setiap detail dengan serius, kita dapat membangun lingkungan MCP yang kuat dan aman.

Selanjutnya, akan terus memperbaiki skrip MasterMCP, merilis lebih banyak kasus pengujian yang spesifik, untuk membantu memahami, berlatih, dan memperkuat perlindungan dalam lingkungan yang aman.

Konten terkait telah disinkronkan ke GitHub, pembaca yang tertarik dapat langsung mengunjungi untuk melihat.