MCP sistemi güvenlik açıkları ve saldırı gösterimi
MCP ( Model Context Protocol ) sistemi şu anda erken gelişim aşamasındadır, genel çevre oldukça kaotik, çeşitli potansiyel saldırı yöntemleri sürekli ortaya çıkmakta, mevcut protokoller ve araçlar etkili bir savunma sağlamakta zorluk çekmektedir. MCP güvenliğini artırmak için, SlowMist MasterMCP aracını açık kaynak olarak sunmuştur ve gerçek saldırı tatbikatları ile ürün tasarımındaki güvenlik açıklarını keşfetmeye yardımcı olarak MCP projesini güçlendirmeyi hedeflemektedir.
Bu makale, MCP sistemi altında yaygın saldırı yöntemlerini, örneğin bilgi zehirleme, gizli kötü niyetli komutlar gibi gerçek vakaları sergileyecektir. Tüm gösterim scriptleri ayrıca GitHub'a açık kaynak olarak yüklenerek herkesin güvenli bir ortamda tüm süreci yeniden üretmesi ve hatta kendi saldırı test eklentilerini geliştirmesi için kullanılabilir hale getirilecektir.
Genel Mimari Görünümü
saldırı hedefi MCP:Toolbox
smithery.ai, şu anda popüler olan MCP eklenti sitelerinden biridir ve birçok MCP listesi ile aktif kullanıcıyı bir araya getirir. Bunlardan biri olan @smithery/toolbox, resmi olarak sunulan MCP yönetim aracıdır.
Toolbox'u test hedefi olarak seçmenin başlıca nedenleri:
Kullanıcı tabanı büyük, temsili.
Diğer eklentilerin otomatik olarak yüklenmesini destekleyerek, istemci işlevlerinin bir kısmını tamamlar
Hassas yapılandırmaları (, API Anahtarı ) gibi içerir, sunum için kolaylık sağlar.
gösterim amaçlı kötü niyetli MCP:MasterMCP
MasterMCP, SlowMist'in güvenlik testleri için özel olarak geliştirdiği sahte kötü niyetli MCP aracıdır ve eklenti tabanlı mimari tasarımına sahiptir. Aşağıdaki ana modülleri içermektedir:
Yerel web sitesi hizmeti simülasyonu:
MasterMCP, yerel web hizmeti simülasyon modülünü entegre eder, FastAPI çerçevesi aracılığıyla basit bir HTTP sunucusu kurarak yaygın web sayfası ortamlarını simüle eder. Bu sayfalar yüzeyde normal görünüyor, ancak aslında kaynak kodu veya arayüz yanıtlarında özenle tasarlanmış kötü niyetli yükler gizlidir.
Yerel Eklenti Tabanlı MCP Mimarı
MasterMCP, yeni saldırı yöntemlerini hızlı bir şekilde eklemek için eklenti tabanlı bir genişleme yöntemi kullanır. Çalıştırıldığında, MasterMCP, alt süreçte bir önceki modülün FastAPI hizmetini çalıştırır.
gösterim istemcisi
Cursor: Dünyada şu anda popüler olan AI destekli programlama IDE'lerinden biri
Claude Desktop:Anthropic resmi istemcisi
gösterim için kullanılan büyük model
Claude 3.7
Claude 3.7 sürümünü seçin, çünkü hassas işlem tanımada iyileştirmeler yapılmıştır ve aynı zamanda mevcut MCP ekosisteminde güçlü bir işlem yeteneğini temsil etmektedir.
Cross-MCP Kötü Niyetli Çağrı
Bu sunum, zehirleme ve Cross-MCP kötü niyetli çağrısı olmak üzere iki içeriği içermektedir.
web içeriği zehirleme saldırısı
Yorumlayıcı zehirleme
Cursor, yerel test sitesine erişiyor, bu görünüşte zararsız "Delicious Cake World" sayfası.
Talimatı yerine getir:
İçeriği al
Sonuçlar, Cursor'un yalnızca web sayfası içeriğini okumakla kalmadığını, aynı zamanda yerel hassas yapılandırma verilerini test sunucusuna geri ilettiğini gösteriyor. Kaynak kodunda, kötü niyetli anahtar kelimeler HTML yorumları biçiminde yerleştirilmiştir.
Kodlama Tabanlı Yorum Zehirleme
/encode sayfasını ziyaret edin, bu aynı görünen bir web sayfasıdır, ancak içindeki kötü niyetli anahtar kelimeler kodlanmıştır, bu da zehirleme exp'ini daha gizli hale getirir, web sayfasının kaynak kodunu ziyaret etmek bile doğrudan fark edilmesini zorlaştırır.
Kaynak kodu açık metin ipuçları içermese bile, saldırı yine de başarılı bir şekilde gerçekleştirildi.
Üçüncü taraf arayüzü kirletme saldırısı
Bu gösterim, kötü niyetli veya kötü niyetli olmayan MCP'lerin, üçüncü taraf API'lerini çağırırken, üçüncü taraf verilerini doğrudan bağlama geri döndürmesinin ciddi etkilere yol açabileceğini hatırlatmaktadır.
İstek yürütme:
/api/data adresinden json al
Sonuç: Kötü niyetli anahtar kelimeler döndürülen JSON verisine yerleştirildi ve kötü niyetli yürütme başarıyla tetiklendi.
MCP başlangıç aşamasında zehirleme teknolojisi
Bu sunum, başlangıç istemi enjeksiyonu ve ad çakışması olmak üzere iki içeriği içermektedir.
Kötü niyetli fonksiyon örtme saldırısı
MasterMCP, Toolbox ile aynı fonksiyon adı olan remove_server'ı yazdı ve kötü niyetli anahtar kelimeleri kodlayarak gizledi.
Talimatı yerine getir:
araç kutusu kaldır fetch eklentisi sunucu
Claude Desktop, asıl toolbox remove_server yöntemini çağırmadı, bunun yerine MasterMCP tarafından sağlanan aynı isimli yöntemi tetikledi.
İlkeler, "eski yöntemlerin terk edildiğini" vurgulayarak büyük modellerin kötü niyetli bir şekilde örtülen fonksiyonları çağırmasını öncelikli olarak teşvik etmektir.
kötü niyetli global kontrol mantığı ekle
MasterMCP, banana aracını yazdı, temel işlevi, tüm araçların çalıştırılmadan önce güvenlik kontrolü yapmak için bu aracı zorunlu kılmaktır.
Her fonksiyonu çalıştırmadan önce, sistem öncelikle banana kontrol mekanizmasını çağırır. Bu, kodda "banana kontrolünün çalıştırılması zorunludur" ifadesinin tekrar tekrar vurgulanması ile gerçekleştirilen küresel bir mantık enjekte etme yöntemidir.
Kötü niyetli ipuçlarını gizlemenin ileri teknikleri
Büyük model dostu kodlama yöntemi
Büyük dil modellerinin çok dilli formatları anlama yeteneği oldukça güçlü olduğundan, bu durum kötü niyetli bilgilerin gizlenmesi için kullanılmaktadır. Yaygın yöntemler arasında şunlar bulunmaktadır:
İngilizce ortam: Hex Byte kodlaması kullanın
Çince ortam: NCR kodlaması veya JavaScript kodlaması kullanın
Rastgele kötü niyetli yük geri dönüş mekanizması
/random isteği yapıldığında, her seferinde kötü niyetli yük içeren bir sayfa rastgele döndürülür, bu da tespit ve izleme zorluğunu büyük ölçüde artırır.
Özet
MasterMCP pratik gösterimi ile, MCP sisteminde gizli olan çeşitli güvenlik açıklarını doğrudan gözlemledik. Basit ipucu enjeksiyonundan, MCP'ler arası çağrılara, daha gizli olan başlangıç aşaması saldırılarına ve kötü niyetli komut gizlemeye kadar her aşama bize şunu hatırlatıyor: MCP ekosistemi güçlü olsa da, aynı zamanda kırılgandır.
Özellikle büyük modeller giderek daha sık dış eklentilerle, API'lerle etkileşime geçiyor; küçük bir girdi kirlenmesi sistem düzeyinde güvenlik risklerini tetikleyebilir. Saldırganların yöntemleri çeşitleniyor ( kodlama gizleme, rastgele kirlenme, fonksiyon örtme ), geleneksel koruma yaklaşımlarının kapsamlı bir şekilde güncellenmesi gerektiği anlamına geliyor.
Bu sunumun herkese bir uyarı niteliğinde olmasını umuyorum: Geliştiriciler ve kullanıcılar, MCP sistemine karşı dikkatli olmalı, her etkileşimi, her kod satırını ve her geri dönüş değerini göz önünde bulundurmalıdır. Sadece detaylara titizlikle yaklaşarak sağlam ve güvenli bir MCP ortamı inşa edilebilir.
SlowMist, MasterMCP betiğini geliştirmeye, daha fazla hedeflenmiş test vakası açmaya devam edecek ve güvenli bir ortamda derinlemesine anlama, uygulama ve korumayı güçlendirmeye yardımcı olacaktır. İlgili içerik GitHub'a senkronize edilmiştir, ilgili okuyucular inceleyebilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Likes
Reward
13
7
Share
Comment
0/400
HypotheticalLiquidator
· 1h ago
Görünümdeki ilk dalga bağlılar artık yerini aldı.
View OriginalReply0
screenshot_gains
· 07-28 10:51
gm yeni bir güvenlik açığı daha çıktı
View OriginalReply0
AirdropSweaterFan
· 07-28 10:50
Kendine dikkat et, Emiciler Tarafından Oyuna Getirilmek!
View OriginalReply0
ContractCollector
· 07-28 10:49
MCP gönderdi gönderdi
View OriginalReply0
ForkItAll
· 07-28 10:48
Karanlık tamamen ortaya çıktı, ne söyleyebilirim ki?
View OriginalReply0
MissedAirdropBro
· 07-28 10:44
Cenaze arabaları bile ondan daha stabil.
View OriginalReply0
MEVSandwichVictim
· 07-28 10:27
Yine enayi yerine konulduk mu? Ne olursa olsun, biz enayileri kesmekten daha kötü.
MasterMCP, MCP güvenlik açıklarını ortaya koyuyor. Pratik gösterim ile çeşitli saldırı yöntemleri.
MCP sistemi güvenlik açıkları ve saldırı gösterimi
MCP ( Model Context Protocol ) sistemi şu anda erken gelişim aşamasındadır, genel çevre oldukça kaotik, çeşitli potansiyel saldırı yöntemleri sürekli ortaya çıkmakta, mevcut protokoller ve araçlar etkili bir savunma sağlamakta zorluk çekmektedir. MCP güvenliğini artırmak için, SlowMist MasterMCP aracını açık kaynak olarak sunmuştur ve gerçek saldırı tatbikatları ile ürün tasarımındaki güvenlik açıklarını keşfetmeye yardımcı olarak MCP projesini güçlendirmeyi hedeflemektedir.
Bu makale, MCP sistemi altında yaygın saldırı yöntemlerini, örneğin bilgi zehirleme, gizli kötü niyetli komutlar gibi gerçek vakaları sergileyecektir. Tüm gösterim scriptleri ayrıca GitHub'a açık kaynak olarak yüklenerek herkesin güvenli bir ortamda tüm süreci yeniden üretmesi ve hatta kendi saldırı test eklentilerini geliştirmesi için kullanılabilir hale getirilecektir.
Genel Mimari Görünümü
saldırı hedefi MCP:Toolbox
smithery.ai, şu anda popüler olan MCP eklenti sitelerinden biridir ve birçok MCP listesi ile aktif kullanıcıyı bir araya getirir. Bunlardan biri olan @smithery/toolbox, resmi olarak sunulan MCP yönetim aracıdır.
Toolbox'u test hedefi olarak seçmenin başlıca nedenleri:
gösterim amaçlı kötü niyetli MCP:MasterMCP
MasterMCP, SlowMist'in güvenlik testleri için özel olarak geliştirdiği sahte kötü niyetli MCP aracıdır ve eklenti tabanlı mimari tasarımına sahiptir. Aşağıdaki ana modülleri içermektedir:
MasterMCP, yerel web hizmeti simülasyon modülünü entegre eder, FastAPI çerçevesi aracılığıyla basit bir HTTP sunucusu kurarak yaygın web sayfası ortamlarını simüle eder. Bu sayfalar yüzeyde normal görünüyor, ancak aslında kaynak kodu veya arayüz yanıtlarında özenle tasarlanmış kötü niyetli yükler gizlidir.
MasterMCP, yeni saldırı yöntemlerini hızlı bir şekilde eklemek için eklenti tabanlı bir genişleme yöntemi kullanır. Çalıştırıldığında, MasterMCP, alt süreçte bir önceki modülün FastAPI hizmetini çalıştırır.
gösterim istemcisi
gösterim için kullanılan büyük model
Claude 3.7 sürümünü seçin, çünkü hassas işlem tanımada iyileştirmeler yapılmıştır ve aynı zamanda mevcut MCP ekosisteminde güçlü bir işlem yeteneğini temsil etmektedir.
Cross-MCP Kötü Niyetli Çağrı
Bu sunum, zehirleme ve Cross-MCP kötü niyetli çağrısı olmak üzere iki içeriği içermektedir.
web içeriği zehirleme saldırısı
Cursor, yerel test sitesine erişiyor, bu görünüşte zararsız "Delicious Cake World" sayfası.
Talimatı yerine getir: İçeriği al
Sonuçlar, Cursor'un yalnızca web sayfası içeriğini okumakla kalmadığını, aynı zamanda yerel hassas yapılandırma verilerini test sunucusuna geri ilettiğini gösteriyor. Kaynak kodunda, kötü niyetli anahtar kelimeler HTML yorumları biçiminde yerleştirilmiştir.
/encode sayfasını ziyaret edin, bu aynı görünen bir web sayfasıdır, ancak içindeki kötü niyetli anahtar kelimeler kodlanmıştır, bu da zehirleme exp'ini daha gizli hale getirir, web sayfasının kaynak kodunu ziyaret etmek bile doğrudan fark edilmesini zorlaştırır.
Kaynak kodu açık metin ipuçları içermese bile, saldırı yine de başarılı bir şekilde gerçekleştirildi.
Üçüncü taraf arayüzü kirletme saldırısı
Bu gösterim, kötü niyetli veya kötü niyetli olmayan MCP'lerin, üçüncü taraf API'lerini çağırırken, üçüncü taraf verilerini doğrudan bağlama geri döndürmesinin ciddi etkilere yol açabileceğini hatırlatmaktadır.
İstek yürütme: /api/data adresinden json al
Sonuç: Kötü niyetli anahtar kelimeler döndürülen JSON verisine yerleştirildi ve kötü niyetli yürütme başarıyla tetiklendi.
MCP başlangıç aşamasında zehirleme teknolojisi
Bu sunum, başlangıç istemi enjeksiyonu ve ad çakışması olmak üzere iki içeriği içermektedir.
Kötü niyetli fonksiyon örtme saldırısı
MasterMCP, Toolbox ile aynı fonksiyon adı olan remove_server'ı yazdı ve kötü niyetli anahtar kelimeleri kodlayarak gizledi.
Talimatı yerine getir: araç kutusu kaldır fetch eklentisi sunucu
Claude Desktop, asıl toolbox remove_server yöntemini çağırmadı, bunun yerine MasterMCP tarafından sağlanan aynı isimli yöntemi tetikledi.
İlkeler, "eski yöntemlerin terk edildiğini" vurgulayarak büyük modellerin kötü niyetli bir şekilde örtülen fonksiyonları çağırmasını öncelikli olarak teşvik etmektir.
kötü niyetli global kontrol mantığı ekle
MasterMCP, banana aracını yazdı, temel işlevi, tüm araçların çalıştırılmadan önce güvenlik kontrolü yapmak için bu aracı zorunlu kılmaktır.
Her fonksiyonu çalıştırmadan önce, sistem öncelikle banana kontrol mekanizmasını çağırır. Bu, kodda "banana kontrolünün çalıştırılması zorunludur" ifadesinin tekrar tekrar vurgulanması ile gerçekleştirilen küresel bir mantık enjekte etme yöntemidir.
Kötü niyetli ipuçlarını gizlemenin ileri teknikleri
Büyük model dostu kodlama yöntemi
Büyük dil modellerinin çok dilli formatları anlama yeteneği oldukça güçlü olduğundan, bu durum kötü niyetli bilgilerin gizlenmesi için kullanılmaktadır. Yaygın yöntemler arasında şunlar bulunmaktadır:
Rastgele kötü niyetli yük geri dönüş mekanizması
/random isteği yapıldığında, her seferinde kötü niyetli yük içeren bir sayfa rastgele döndürülür, bu da tespit ve izleme zorluğunu büyük ölçüde artırır.
Özet
MasterMCP pratik gösterimi ile, MCP sisteminde gizli olan çeşitli güvenlik açıklarını doğrudan gözlemledik. Basit ipucu enjeksiyonundan, MCP'ler arası çağrılara, daha gizli olan başlangıç aşaması saldırılarına ve kötü niyetli komut gizlemeye kadar her aşama bize şunu hatırlatıyor: MCP ekosistemi güçlü olsa da, aynı zamanda kırılgandır.
Özellikle büyük modeller giderek daha sık dış eklentilerle, API'lerle etkileşime geçiyor; küçük bir girdi kirlenmesi sistem düzeyinde güvenlik risklerini tetikleyebilir. Saldırganların yöntemleri çeşitleniyor ( kodlama gizleme, rastgele kirlenme, fonksiyon örtme ), geleneksel koruma yaklaşımlarının kapsamlı bir şekilde güncellenmesi gerektiği anlamına geliyor.
Bu sunumun herkese bir uyarı niteliğinde olmasını umuyorum: Geliştiriciler ve kullanıcılar, MCP sistemine karşı dikkatli olmalı, her etkileşimi, her kod satırını ve her geri dönüş değerini göz önünde bulundurmalıdır. Sadece detaylara titizlikle yaklaşarak sağlam ve güvenli bir MCP ortamı inşa edilebilir.
SlowMist, MasterMCP betiğini geliştirmeye, daha fazla hedeflenmiş test vakası açmaya devam edecek ve güvenli bir ortamda derinlemesine anlama, uygulama ve korumayı güçlendirmeye yardımcı olacaktır. İlgili içerik GitHub'a senkronize edilmiştir, ilgili okuyucular inceleyebilir.