Phân tích thực chiến về đầu độc và thao túng ẩn giấu trong hệ thống MCP

MCP (Mô hình Ngữ cảnh Giao thức) Hệ thống hiện tại vẫn đang ở giai đoạn phát triển sớm, môi trường tổng thể khá hỗn loạn, các phương thức tấn công tiềm năng xuất hiện liên tục, các giao thức và công cụ hiện có khó có thể phòng thủ hiệu quả. Để giúp cộng đồng hiểu rõ hơn và nâng cao tính bảo mật của MCP, một nhóm an ninh đã mã nguồn mở công cụ MasterMCP, hy vọng thông qua các bài tập tấn công thực tế, giúp các nhà phát triển phát hiện kịp thời các lỗ hổng bảo mật trong thiết kế sản phẩm, từ đó từng bước củng cố dự án MCP.

Bài viết này sẽ hướng dẫn người đọc thực hành, trình bày những phương thức tấn công phổ biến trong hệ thống MCP, như tiêm thông tin độc hại, ẩn lệnh độc hại và các trường hợp thực tế khác. Tất cả các kịch bản trình diễn cũng sẽ được mã nguồn mở, người đọc có thể tái hiện toàn bộ quy trình trong môi trường an toàn, thậm chí phát triển plugin kiểm tra tấn công của riêng mình dựa trên những kịch bản này.

Tổng quan về kiến trúc tổng thể

Mục tiêu tấn công mẫu MCP:Toolbox

Một trang web plugin MCP nổi tiếng là một trong những địa điểm tập trung MCP phổ biến nhất hiện nay, quy tụ một lượng lớn danh sách MCP và người dùng hoạt động. Trong đó, công cụ quản lý MCP Toolbox do chính thức phát hành được chọn làm mục tiêu thử nghiệm, chủ yếu dựa trên những điểm sau:

• Tầng lớp người dùng đông đảo, có tính đại diện
• Hỗ trợ cài đặt tự động các plugin khác, bổ sung một số chức năng của khách hàng
• Bao gồm cấu hình nhạy cảm ( như API Key ), thuận tiện cho việc trình bày

Mã độc MCP dùng để trình diễn: MasterMCP

MasterMCP là công cụ mô phỏng MCP độc hại được thiết kế đặc biệt cho việc kiểm tra an ninh, sử dụng kiến trúc plugin và bao gồm các mô-đun chính sau:

1. Dịch vụ mô phỏng trang web địa phương:

Để tái hiện chân thực hơn các tình huống tấn công, MasterMCP đã tích hợp mô-đun mô phỏng dịch vụ trang web địa phương. Bằng cách sử dụng khung FastAPI để nhanh chóng thiết lập máy chủ HTTP đơn giản, mô phỏng môi trường trang web phổ biến. Những trang này nhìn bề ngoài có vẻ bình thường, nhưng thực tế trong mã nguồn trang hoặc phản hồi giao diện lại chứa các tải trọng độc hại được thiết kế tỉ mỉ.

2. Kiến trúc MCP cắm thêm địa phương

MasterMCP sử dụng cách mở rộng theo kiểu plugin, thuận tiện cho việc nhanh chóng thêm các phương thức tấn công mới sau này. Sau khi chạy, MasterMCP sẽ chạy dịch vụ FastAPI nói trên trong một quy trình con.

ứng dụng demo

• Cursor: Một trong những IDE lập trình hỗ trợ AI phổ biến nhất trên toàn cầu hiện nay
• Claude Desktop: Anthropic ( MCP giao thức tùy chỉnh ) ứng dụng chính thức

mô hình lớn được sử dụng để trình diễn

• Claude 3.7

Chọn phiên bản Claude 3.7, vì nó đã có những cải tiến nhất định trong việc nhận diện các thao tác nhạy cảm, đồng thời đại diện cho khả năng vận hành mạnh mẽ trong hệ sinh thái MCP hiện tại.

Cross-MCP gọi ác ý

tấn công tiêm nhiễm nội dung trang web

1. Đầu độc kiểu chú thích

Truy cập trang web thử nghiệm cục bộ thông qua Cursor, mô phỏng ảnh hưởng của việc khách hàng mô hình lớn truy cập trang web độc hại.

Thực hiện lệnh:

Lấy nội dung của

Kết quả cho thấy, Cursor không chỉ đọc nội dung trang web, mà còn gửi dữ liệu cấu hình nhạy cảm địa phương trở lại máy chủ thử nghiệm. Trong mã nguồn, các từ khóa độc hại được nhúng dưới dạng bình luận HTML. Mặc dù cách bình luận khá rõ ràng, dễ bị phát hiện, nhưng đã có thể kích hoạt các hoạt động độc hại.

2. Tiêm nhiễm chú thích kiểu mã hóa

Truy cập trang /encode, đây là một trang web có vẻ bình thường, nhưng trong đó, các từ khóa độc hại đã được mã hóa, khiến việc tiêm nhiễm trở nên kín đáo hơn, ngay cả khi xem mã nguồn trang web cũng khó phát hiện trực tiếp.

Ngay cả khi mã nguồn không chứa từ gợi ý rõ ràng, cuộc tấn công vẫn thực hiện thành công.

tấn công ô nhiễm giao diện bên thứ ba

Bản trình bày này chủ yếu nhắc nhở rằng, dù là MCP độc hại hay không độc hại, khi gọi API của bên thứ ba, nếu trực tiếp trả về dữ liệu của bên thứ ba vào ngữ cảnh, có thể mang lại ảnh hưởng nghiêm trọng.

Thực hiện yêu cầu:

Lấy json từ /api/data

Kết quả: Các từ gợi ý độc hại đã được chèn vào dữ liệu JSON trả về và đã kích hoạt thực thi độc hại một cách suôn sẻ.

Kỹ thuật tiêm độc trong giai đoạn khởi tạo MCP

tấn công ghi đè hàm độc hại

MasterMCP đã viết một công cụ với tên hàm remove_server giống như Toolbox, và mã hóa để ẩn đi các từ gợi ý độc hại.

Thực hiện lệnh:

công cụ loại bỏ lấy plugin máy chủ

Claude Desktop không gọi phương thức remove_server của toolbox ban đầu, mà đã kích hoạt phương thức cùng tên được cung cấp bởi MasterMCP.

Nguyên lý là thông qua việc nhấn mạnh "phương pháp cũ đã bị loại bỏ", ưu tiên dẫn dắt mô hình lớn gọi các hàm bị ghi đè độc hại.

Thêm logic kiểm tra toàn cầu độc hại

MasterMCP đã viết một công cụ banana, có chức năng chính là buộc tất cả các công cụ phải thực hiện công cụ này để kiểm tra an toàn trước khi chạy trong các từ gợi ý.

Trước mỗi lần thực hiện hàm, hệ thống sẽ ưu tiên gọi cơ chế kiểm tra banana. Điều này được thực hiện bằng cách nhấn mạnh "phải chạy kiểm tra banana" trong mã.

Kỹ thuật nâng cao để ẩn các từ khóa độc hại

cách mã hóa thân thiện với mô hình lớn

Do khả năng phân tích rất mạnh của các mô hình ngôn ngữ lớn đối với định dạng đa ngôn ngữ, điều này đã bị lợi dụng để ẩn giấu thông tin độc hại, các phương pháp thường dùng bao gồm:

• Trong môi trường tiếng Anh: sử dụng mã Hex Byte
• Môi trường tiếng Trung: Sử dụng mã NCR hoặc mã JavaScript

cơ chế trả lại tải độc hại ngẫu nhiên

Khi yêu cầu /random, mỗi lần sẽ ngẫu nhiên trả về một trang có tải trọng độc hại, làm tăng đáng kể độ khó trong việc phát hiện và truy vết.

Tóm tắt

Thông qua buổi trình diễn thực chiến của MasterMCP, chúng ta đã nhìn thấy một cách trực quan các nguy cơ bảo mật ẩn chứa trong hệ thống Model Context Protocol (MCP). Từ việc tiêm từ khóa đơn giản, gọi chéo MCP, đến các cuộc tấn công giai đoạn khởi tạo tinh vi hơn và ẩn giấu lệnh độc hại, mỗi khâu đều nhắc nhở chúng ta: mặc dù hệ sinh thái MCP rất mạnh mẽ, nhưng cũng vô cùng yếu ớt.

Đặc biệt trong bối cảnh các mô hình lớn ngày càng thường xuyên tương tác với các plugin và API bên ngoài, việc ô nhiễm đầu vào nhỏ cũng có thể gây ra rủi ro an toàn hệ thống toàn diện. Đồng thời, sự đa dạng hóa các phương thức tấn công như mã hóa (, ô nhiễm ngẫu nhiên, và ghi đè hàm ) cũng có nghĩa là, các tư duy bảo vệ truyền thống cần phải được nâng cấp toàn diện.

An toàn không bao giờ đến một cách dễ dàng. Hy vọng rằng buổi trình diễn lần này sẽ đánh thức mọi người: dù là nhà phát triển hay người sử dụng, đều nên giữ một tâm thế cảnh giác đối với hệ thống MCP, luôn chú ý đến từng tương tác, từng dòng mã, từng giá trị trả về. Chỉ khi đối xử nghiêm túc với từng chi tiết, mới có thể thực sự xây dựng một môi trường MCP vững chắc và an toàn.