Risques de sécurité potentiels et démonstration d'attaques dans le système MCP
Le protocole de contexte du modèle MCP ( est encore en phase de développement précoce, l'environnement global est plutôt chaotique, avec une multitude de méthodes d'attaque potentielles émergentes, et les protocoles et outils existants sont difficiles à concevoir pour une défense efficace. Pour aider la communauté à améliorer la sensibilisation à la sécurité de MCP, un outil open source nommé MasterMCP a été créé, visant à aider les développeurs à identifier rapidement les vulnérabilités de sécurité dans la conception de produits grâce à des exercices d'attaque pratiques, renforçant ainsi continuellement la sécurité du projet MCP.
Cet article guidera les lecteurs à travers des démonstrations pratiques des méthodes d'attaque courantes dans l'écosystème MCP, y compris la contamination d'informations et l'injection de commandes malveillantes, avec de vrais cas. Tous les scripts de démonstration sont open source, permettant à chacun de reproduire l'ensemble du processus dans un environnement sécurisé, et même de développer ses propres plugins de test d'attaque sur cette base.
![Prendre action : empoisonnement caché et manipulation dans le système MCP])https://img-cdn.gateio.im/webp-social/moments-b40c2ead4790c433f269d8e0d01ed30c.webp(
Aperçu de l'architecture globale
) Cible d'attaque de démonstration MC: Toolbox
Toolbox est un outil de gestion MCP très populaire, avec une large base d'utilisateurs. Le choix de cet outil comme cible de test repose principalement sur les considérations suivantes :
Une base d'utilisateurs large et représentative
Prend en charge l'installation automatique d'autres plugins, pouvant compléter certaines fonctionnalités du client.
Contient des configurations sensibles ### telles que la clé API (, facilitant la démonstration
) Utilisation malveillante de MCP de démonstration : MasterMCP
MasterMCP est un outil de simulation de MCP malveillant conçu spécifiquement pour les tests de sécurité, utilisant une architecture modulaire et comprenant les modules clés suivants :
Simulation de services de sites Web locaux:
Ce module crée rapidement un serveur HTTP simple via le framework FastAPI, simulant un environnement de page web courant. Ces pages semblent normales, mais cachent en réalité des charges malveillantes soigneusement conçues dans le code source ou les réponses des interfaces.
Architecture MCP de plugin local
MasterMCP utilise une approche modulaire pour s'étendre, facilitant l'ajout rapide de nouveaux types d'attaques par la suite. Une fois lancé, MasterMCP démarrera le service FastAPI mentionné ci-dessus dans un sous-processus.
![Prise de départ pratique : empoisonnement caché et manipulation dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-3c65fb78f3a1d00f05d6f3d950931f1f.webp(
) Client de démonstration
Cursor: l'un des IDE de programmation assistée par IA les plus populaires au monde
Claude Desktop : Client officiel d'Anthropic
modèle de grande taille utilisé pour la démonstration
Claude 3.7
Choisir cette version est dû au fait qu'elle a déjà fait des progrès dans la reconnaissance des opérations sensibles, tout en représentant une capacité opérationnelle relativement forte dans l'écosystème MCP actuel.
Appel malveillant Cross-MCP
attaque de pollution de contenu web
Injection de commentaires
Accédez au site de test local via Cursor, c'est une page apparemment inoffensive "Delicious Cake World". Après avoir exécuté les instructions pour obtenir le contenu de la page web, Cursor n'a pas seulement lu le contenu de la page web, mais a également renvoyé des données de configuration sensibles locales au serveur de test. Dans le code source, des mots d'incitation malveillants sont intégrés sous forme de commentaires HTML.
![Prise de départ : empoisonnement et manipulation cachés dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-2fe451755dc3588ffc2ddbd7427dcf9b.webp(
Poisonnement par annotation de type codé
Accédez à la page /encode, c'est une page web qui semble identique, mais les mots clés malveillants y sont encodés, rendant l'empoisonnement plus discret. Même si le code source ne contient pas de mots clés en clair, l'attaque est toujours exécutée avec succès.
![Prise en main : Poison caché et manipulation dans le système MCP])https://img-cdn.gateio.im/webp-social/moments-0ebb45583f5d7c2e4a4b792a0bdc989d.webp(
) MC outils retour d'information empoisonnement
Selon les instructions de l'invite de MasterMCP, après avoir entré la commande simulée "get a lot of apples", le client a appelé Toolbox à travers MCP et a réussi à ajouter un nouveau serveur MCP. En examinant le code du plugin, on peut constater que les données de retour contiennent déjà une charge utile malveillante traitée et encodée, rendant presque impossible pour l'utilisateur de détecter l'anomalie.
![Départ en pratique : empoisonnement caché et manipulation dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-3840e36661d61bbb0dcee6d5cf38d376.webp(
) attaque de pollution d'interface tierce
Après l'exécution de la demande pour obtenir des données JSON, des mots d'invite malveillants ont été intégrés dans les données JSON renvoyées, déclenchant ainsi une exécution malveillante. Cela nous rappelle que, qu'il s'agisse de MCP malveillants ou non, lors de l'appel d'une API tierce, le retour direct des données tierces dans le contexte peut avoir des conséquences graves.
![Pratique : empoisonnement et manipulation cachés dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-33ec895deae947ebc284e846286ccf1c.webp(
Technique de poisoning lors de la phase d'initialisation de MC
) attaque par couverture de fonction malveillante
MasterMCP a écrit un outil nommé remove_server avec la même fonction que celle utilisée dans Toolbox, et a encodé des mots d'invite malveillants. Après l'exécution de la commande, Claude Desktop n'a pas appelé la méthode remove_server de toolbox, mais a plutôt déclenché la méthode homonyme fournie par MasterMCP. Cela a été réalisé en soulignant que "la méthode originale a été abandonnée" pour induire prioritairement le modèle de grande taille à appeler la fonction malveillante de remplacement.
![Départ pratique : empoisonnement et manipulation cachés dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-e16c8d753ef00ec06f0bf607dc188446.webp(
) Ajouter une logique de vérification globale malveillante
MasterMCP a développé un outil banana, dont la fonction principale est de forcer l'exécution de cet outil pour un contrôle de sécurité avant que tous les autres outils ne s'exécutent dans les mots-clés. Avant chaque exécution de fonction, le système appelle en priorité le mécanisme de vérification banana. Cela est réalisé par l'injection logique globale dans le code, en soulignant à plusieurs reprises "doit exécuter la vérification banana".
![Départ pratique : empoisonnement et manipulation cachés dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-3e15b74bbdc0154ed8505c04345c4deb.webp(
Techniques avancées pour cacher les mots d'alerte malveillants
) méthode de codage amicale pour les grands modèles
En raison de la forte capacité d'analyse des formats multilingues des grands modèles de langage, cela est souvent utilisé pour dissimuler des informations malveillantes, les méthodes couramment utilisées comprennent :
Environnement anglais : utiliser le codage Hex Byte
Environnement chinois : utiliser le codage NCR ou le codage JavaScript
![Pratique : empoisonnement caché et manipulation dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-cd87a6781e74c267c89e99e398e7499c.webp(
) Mécanisme de retour de charges utiles malveillantes aléatoires
Lorsqu'une demande /random est effectuée, une page avec une charge utile malveillante est renvoyée de manière aléatoire à chaque fois, ce qui augmente considérablement la difficulté de la détection et de la traçabilité.
![Pratique : La manipulation et l'empoisonnement caché dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-c5a25d6fa43a286a07b6a57c1a3f9605.webp(
Résumé
À travers la démonstration pratique de MasterMCP, nous avons vu de manière intuitive les diverses vulnérabilités cachées dans le système MCP. Des injections simples de mots-clés, des appels inter-MCP, jusqu'aux attaques plus subtiles durant la phase d'initialisation et à la dissimulation d'instructions malveillantes, chaque étape nous rappelle que : bien que l'écosystème MCP soit puissant, il est tout de même fragile.
Surtout aujourd'hui, où les grands modèles interagissent de plus en plus fréquemment avec des plugins externes et des API, une petite pollution des entrées peut entraîner des risques de sécurité à l'échelle du système. La diversification des méthodes des attaquants, comme le codage caché ), la pollution aléatoire et le remplacement de fonctions (, signifie également que les approches de protection traditionnelles doivent être entièrement mises à jour.
La sécurité n'a jamais été acquise du jour au lendemain. J'espère que cette démonstration pourra servir d'avertissement à tous : qu'il s'agisse de développeurs ou d'utilisateurs, nous devons rester suffisamment vigilants vis-à-vis du système MCP, en prêtant attention à chaque interaction, à chaque ligne de code, à chaque valeur de retour. Ce n'est qu'en traitant chaque détail avec rigueur que nous pourrons réellement construire un environnement MCP solide et sécurisé.
La prochaine étape consiste également à continuer d'améliorer le script MasterMCP, à open sourcer davantage de cas de test ciblés pour aider tout le monde à comprendre, pratiquer et renforcer la protection dans un environnement sécurisé.
![Pratique : Poison caché et manipulation dans le système MCP])https://img-cdn.gateio.im/webp-social/moments-bf6d8976b54bebbec34699753f4dbb70.webp(
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Analyse des risques de sécurité de l'écosystème MCP : démonstration d'attaques inter-MCP et de contamination cachée.
Risques de sécurité potentiels et démonstration d'attaques dans le système MCP
Le protocole de contexte du modèle MCP ( est encore en phase de développement précoce, l'environnement global est plutôt chaotique, avec une multitude de méthodes d'attaque potentielles émergentes, et les protocoles et outils existants sont difficiles à concevoir pour une défense efficace. Pour aider la communauté à améliorer la sensibilisation à la sécurité de MCP, un outil open source nommé MasterMCP a été créé, visant à aider les développeurs à identifier rapidement les vulnérabilités de sécurité dans la conception de produits grâce à des exercices d'attaque pratiques, renforçant ainsi continuellement la sécurité du projet MCP.
Cet article guidera les lecteurs à travers des démonstrations pratiques des méthodes d'attaque courantes dans l'écosystème MCP, y compris la contamination d'informations et l'injection de commandes malveillantes, avec de vrais cas. Tous les scripts de démonstration sont open source, permettant à chacun de reproduire l'ensemble du processus dans un environnement sécurisé, et même de développer ses propres plugins de test d'attaque sur cette base.
![Prendre action : empoisonnement caché et manipulation dans le système MCP])https://img-cdn.gateio.im/webp-social/moments-b40c2ead4790c433f269d8e0d01ed30c.webp(
Aperçu de l'architecture globale
) Cible d'attaque de démonstration MC: Toolbox
Toolbox est un outil de gestion MCP très populaire, avec une large base d'utilisateurs. Le choix de cet outil comme cible de test repose principalement sur les considérations suivantes :
) Utilisation malveillante de MCP de démonstration : MasterMCP
MasterMCP est un outil de simulation de MCP malveillant conçu spécifiquement pour les tests de sécurité, utilisant une architecture modulaire et comprenant les modules clés suivants :
Ce module crée rapidement un serveur HTTP simple via le framework FastAPI, simulant un environnement de page web courant. Ces pages semblent normales, mais cachent en réalité des charges malveillantes soigneusement conçues dans le code source ou les réponses des interfaces.
MasterMCP utilise une approche modulaire pour s'étendre, facilitant l'ajout rapide de nouveaux types d'attaques par la suite. Une fois lancé, MasterMCP démarrera le service FastAPI mentionné ci-dessus dans un sous-processus.
![Prise de départ pratique : empoisonnement caché et manipulation dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-3c65fb78f3a1d00f05d6f3d950931f1f.webp(
) Client de démonstration
modèle de grande taille utilisé pour la démonstration
Choisir cette version est dû au fait qu'elle a déjà fait des progrès dans la reconnaissance des opérations sensibles, tout en représentant une capacité opérationnelle relativement forte dans l'écosystème MCP actuel.
Appel malveillant Cross-MCP
attaque de pollution de contenu web
Accédez au site de test local via Cursor, c'est une page apparemment inoffensive "Delicious Cake World". Après avoir exécuté les instructions pour obtenir le contenu de la page web, Cursor n'a pas seulement lu le contenu de la page web, mais a également renvoyé des données de configuration sensibles locales au serveur de test. Dans le code source, des mots d'incitation malveillants sont intégrés sous forme de commentaires HTML.
![Prise de départ : empoisonnement et manipulation cachés dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-2fe451755dc3588ffc2ddbd7427dcf9b.webp(
Accédez à la page /encode, c'est une page web qui semble identique, mais les mots clés malveillants y sont encodés, rendant l'empoisonnement plus discret. Même si le code source ne contient pas de mots clés en clair, l'attaque est toujours exécutée avec succès.
![Prise en main : Poison caché et manipulation dans le système MCP])https://img-cdn.gateio.im/webp-social/moments-0ebb45583f5d7c2e4a4b792a0bdc989d.webp(
) MC outils retour d'information empoisonnement
Selon les instructions de l'invite de MasterMCP, après avoir entré la commande simulée "get a lot of apples", le client a appelé Toolbox à travers MCP et a réussi à ajouter un nouveau serveur MCP. En examinant le code du plugin, on peut constater que les données de retour contiennent déjà une charge utile malveillante traitée et encodée, rendant presque impossible pour l'utilisateur de détecter l'anomalie.
![Départ en pratique : empoisonnement caché et manipulation dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-3840e36661d61bbb0dcee6d5cf38d376.webp(
) attaque de pollution d'interface tierce
Après l'exécution de la demande pour obtenir des données JSON, des mots d'invite malveillants ont été intégrés dans les données JSON renvoyées, déclenchant ainsi une exécution malveillante. Cela nous rappelle que, qu'il s'agisse de MCP malveillants ou non, lors de l'appel d'une API tierce, le retour direct des données tierces dans le contexte peut avoir des conséquences graves.
![Pratique : empoisonnement et manipulation cachés dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-33ec895deae947ebc284e846286ccf1c.webp(
Technique de poisoning lors de la phase d'initialisation de MC
) attaque par couverture de fonction malveillante
MasterMCP a écrit un outil nommé remove_server avec la même fonction que celle utilisée dans Toolbox, et a encodé des mots d'invite malveillants. Après l'exécution de la commande, Claude Desktop n'a pas appelé la méthode remove_server de toolbox, mais a plutôt déclenché la méthode homonyme fournie par MasterMCP. Cela a été réalisé en soulignant que "la méthode originale a été abandonnée" pour induire prioritairement le modèle de grande taille à appeler la fonction malveillante de remplacement.
![Départ pratique : empoisonnement et manipulation cachés dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-e16c8d753ef00ec06f0bf607dc188446.webp(
) Ajouter une logique de vérification globale malveillante
MasterMCP a développé un outil banana, dont la fonction principale est de forcer l'exécution de cet outil pour un contrôle de sécurité avant que tous les autres outils ne s'exécutent dans les mots-clés. Avant chaque exécution de fonction, le système appelle en priorité le mécanisme de vérification banana. Cela est réalisé par l'injection logique globale dans le code, en soulignant à plusieurs reprises "doit exécuter la vérification banana".
![Départ pratique : empoisonnement et manipulation cachés dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-3e15b74bbdc0154ed8505c04345c4deb.webp(
Techniques avancées pour cacher les mots d'alerte malveillants
) méthode de codage amicale pour les grands modèles
En raison de la forte capacité d'analyse des formats multilingues des grands modèles de langage, cela est souvent utilisé pour dissimuler des informations malveillantes, les méthodes couramment utilisées comprennent :
![Pratique : empoisonnement caché et manipulation dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-cd87a6781e74c267c89e99e398e7499c.webp(
) Mécanisme de retour de charges utiles malveillantes aléatoires
Lorsqu'une demande /random est effectuée, une page avec une charge utile malveillante est renvoyée de manière aléatoire à chaque fois, ce qui augmente considérablement la difficulté de la détection et de la traçabilité.
![Pratique : La manipulation et l'empoisonnement caché dans le système MCP]###https://img-cdn.gateio.im/webp-social/moments-c5a25d6fa43a286a07b6a57c1a3f9605.webp(
Résumé
À travers la démonstration pratique de MasterMCP, nous avons vu de manière intuitive les diverses vulnérabilités cachées dans le système MCP. Des injections simples de mots-clés, des appels inter-MCP, jusqu'aux attaques plus subtiles durant la phase d'initialisation et à la dissimulation d'instructions malveillantes, chaque étape nous rappelle que : bien que l'écosystème MCP soit puissant, il est tout de même fragile.
Surtout aujourd'hui, où les grands modèles interagissent de plus en plus fréquemment avec des plugins externes et des API, une petite pollution des entrées peut entraîner des risques de sécurité à l'échelle du système. La diversification des méthodes des attaquants, comme le codage caché ), la pollution aléatoire et le remplacement de fonctions (, signifie également que les approches de protection traditionnelles doivent être entièrement mises à jour.
La sécurité n'a jamais été acquise du jour au lendemain. J'espère que cette démonstration pourra servir d'avertissement à tous : qu'il s'agisse de développeurs ou d'utilisateurs, nous devons rester suffisamment vigilants vis-à-vis du système MCP, en prêtant attention à chaque interaction, à chaque ligne de code, à chaque valeur de retour. Ce n'est qu'en traitant chaque détail avec rigueur que nous pourrons réellement construire un environnement MCP solide et sécurisé.
La prochaine étape consiste également à continuer d'améliorer le script MasterMCP, à open sourcer davantage de cas de test ciblés pour aider tout le monde à comprendre, pratiquer et renforcer la protection dans un environnement sécurisé.
![Pratique : Poison caché et manipulation dans le système MCP])https://img-cdn.gateio.im/webp-social/moments-bf6d8976b54bebbec34699753f4dbb70.webp(