Виклики безпеки системи MCP та стратегії реагування
Модельний контекст протокол (MCP) наразі все ще знаходиться на ранній стадії розвитку і стикається з численними викликами безпеки. Щоб допомогти спільноті підвищити безпеку MCP, Slow Mist відкрив вихідний код інструменту MasterMCP, який через практичні навчання з атак виявляє потенційні ризики.
У цій статті буде детально описано поширені способи атак у системі MCP, включаючи інформаційне отруєння, приховані шкідливі команди тощо. Усі демонстраційні скрипти були відкриті на GitHub, читачі можуть відтворити весь процес у безпечному середовищі.
Загальний огляд архітектури
демонстраційна атака на ціль MCP:Toolbox
Toolbox є офіційним інструментом управління MCP, випущеним певним веб-сайтом плагінів MCP, вибір його в якості тестової цілі ґрунтується на таких основних міркуваннях:
Велика база користувачів, має представницький характер
Підтримка автоматичної установки інших плагінів, доповнення частини функцій клієнта
Містить чутливі налаштування, такі як API Key, для зручності демонстрації
MasterMCP - це інструмент для моделювання шкідливих MCP, спеціально розроблений для тестування безпеки, який використовує плагінну архітектуру, основними компонентами якого є:
Місцева служба веб-сайтів
Локальна плагінна архітектура MCP
демонстраційний клієнт
Cursor: один з найпопулярніших AI-асистованих IDE для програмування у світі
Claude Desktop: офіційний клієнт певної AI компанії
демонстраційна велика модель
Вибір версії Claude 3.7 означає наявність потужних операційних можливостей у сучасній екосистемі MCP.
Демонстрація зловмисного виклику Cross-MCP
атака отравлення веб-контенту
Коментуюче отруєння
Успішно активовано чутливу операцію шляхом впровадження шкідливих підказок у коментарі HTML.
Кодоване коментарне отруєння
Кодування шкідливих підказок для більшої прихованості отруєння.
атака забруднення стороннього інтерфейсу
Пряме передавання даних, що повертаються стороннім API, у контекст може ввести шкідливий вантаж.
Технології отруювання на етапі ініціалізації MC
атакa накладання зловмисних функцій
Перевизначення існуючого методу за допомогою функції з тією ж назвою, спонукаючи модель викликати шкідливу функцію.
Додати шкідливу глобальну логіку перевірки
Примусове виконання перевірки на наявність шкідливого програмного забезпечення перед запуском усіх інструментів.
Розширені прийоми приховування шкідливих підказок
дружня до великих моделей кодова база
Використання можливостей LLM для приховування шкідливої інформації шляхом аналізу багатомовних форматів:
Англійське середовище: використання кодування Hex Byte
Китайське середовище: використання кодування NCR або кодування JavaScript
механізм повернення випадкового шкідливого вантажу
Кожен раз випадкове повернення сторінки з шкідливим вантажем, що ускладнює виявлення.
Підсумок
Екосистема MCP, хоча й потужна, має багато потенційних загроз безпеці. Від простих атак через введення підказок до прихованих атак ініціалізації, на кожному етапі потрібно бути обережними. Зі збільшенням взаємодії великих моделей з зовнішнім середовищем, традиційні підходи до захисту потребують повної модернізації.
Розробники та користувачі повинні бути обережними щодо системи MCP, звертаючи увагу на деталі кожної взаємодії. Тільки ставлячися до цього серйозно, можна створити безпечне та стабільне середовище MCP.
Скрипт MasterMCP буде постійно вдосконалюватися, відкриватимуться більше тестових випадків, щоб допомогти спільноті глибше зрозуміти, відпрацювати та зміцнити захист MCP у безпечному середовищі.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
6
Репост
Поділіться
Прокоментувати
0/400
GasSavingMaster
· 21год тому
Знову Slow Mist робить проблеми.
Переглянути оригіналвідповісти на0
NonFungibleDegen
· 22год тому
сер просто втратив половину мого портфеля через вразливості mcp... ngmi, але все ще бичачий af
Переглянути оригіналвідповісти на0
BearMarketLightning
· 08-10 11:13
Шок! Цей ризик безпеки прямо вразив.
Переглянути оригіналвідповісти на0
SnapshotDayLaborer
· 08-10 11:05
Відчувається трохи захопитися, такі великі ризики.
Переглянути оригіналвідповісти на0
WealthCoffee
· 08-10 11:04
Не зрозумів, чи безпечний проект не важливо, автор цієї статті просто не вистачає, щоб викласти навчальний посібник, хаха
Переглянути оригіналвідповісти на0
ParanoiaKing
· 08-10 10:56
Вже давно казав, що ця річ має великі пастки, хто розуміє, той розуміє.
Розкриття безпекових ризиків MCP: всебічний аналіз від отруєння до прихованих атак
Виклики безпеки системи MCP та стратегії реагування
Модельний контекст протокол (MCP) наразі все ще знаходиться на ранній стадії розвитку і стикається з численними викликами безпеки. Щоб допомогти спільноті підвищити безпеку MCP, Slow Mist відкрив вихідний код інструменту MasterMCP, який через практичні навчання з атак виявляє потенційні ризики.
У цій статті буде детально описано поширені способи атак у системі MCP, включаючи інформаційне отруєння, приховані шкідливі команди тощо. Усі демонстраційні скрипти були відкриті на GitHub, читачі можуть відтворити весь процес у безпечному середовищі.
Загальний огляд архітектури
демонстраційна атака на ціль MCP:Toolbox
Toolbox є офіційним інструментом управління MCP, випущеним певним веб-сайтом плагінів MCP, вибір його в якості тестової цілі ґрунтується на таких основних міркуваннях:
зловмисний MCP демонстраційний інструмент: MasterMCP
MasterMCP - це інструмент для моделювання шкідливих MCP, спеціально розроблений для тестування безпеки, який використовує плагінну архітектуру, основними компонентами якого є:
демонстраційний клієнт
демонстраційна велика модель
Вибір версії Claude 3.7 означає наявність потужних операційних можливостей у сучасній екосистемі MCP.
Демонстрація зловмисного виклику Cross-MCP
атака отравлення веб-контенту
Успішно активовано чутливу операцію шляхом впровадження шкідливих підказок у коментарі HTML.
Кодування шкідливих підказок для більшої прихованості отруєння.
атака забруднення стороннього інтерфейсу
Пряме передавання даних, що повертаються стороннім API, у контекст може ввести шкідливий вантаж.
Технології отруювання на етапі ініціалізації MC
атакa накладання зловмисних функцій
Перевизначення існуючого методу за допомогою функції з тією ж назвою, спонукаючи модель викликати шкідливу функцію.
Додати шкідливу глобальну логіку перевірки
Примусове виконання перевірки на наявність шкідливого програмного забезпечення перед запуском усіх інструментів.
Розширені прийоми приховування шкідливих підказок
дружня до великих моделей кодова база
Використання можливостей LLM для приховування шкідливої інформації шляхом аналізу багатомовних форматів:
механізм повернення випадкового шкідливого вантажу
Кожен раз випадкове повернення сторінки з шкідливим вантажем, що ускладнює виявлення.
Підсумок
Екосистема MCP, хоча й потужна, має багато потенційних загроз безпеці. Від простих атак через введення підказок до прихованих атак ініціалізації, на кожному етапі потрібно бути обережними. Зі збільшенням взаємодії великих моделей з зовнішнім середовищем, традиційні підходи до захисту потребують повної модернізації.
Розробники та користувачі повинні бути обережними щодо системи MCP, звертаючи увагу на деталі кожної взаємодії. Тільки ставлячися до цього серйозно, можна створити безпечне та стабільне середовище MCP.
Скрипт MasterMCP буде постійно вдосконалюватися, відкриватимуться більше тестових випадків, щоб допомогти спільноті глибше зрозуміти, відпрацювати та зміцнити захист MCP у безпечному середовищі.