# MCP體系中的隱蔽投毒與操縱:實戰演示MCP (Model Context Protocol)體系目前處於早期發展階段,整體環境較爲混沌,各種潛在攻擊方式層出不窮,現有協議和工具設計難以有效防御。爲幫助社區更好認識和提升MCP安全性,慢霧特別開源了MasterMCP工具,希望通過實際攻擊演練,幫助發現產品設計中的安全隱患,從而逐步加固MCP項目。本文將帶領大家實操演示MCP體系下的常見攻擊方式,如信息投毒、隱匿惡意指令等真實案例。所有演示腳本也會一並開源,大家可在安全環境中完整復現整個流程,甚至基於這些腳本開發自己的攻擊測試插件。## 整體架構概覽### 演示攻擊目標MCP:Toolboxsmithery.ai是當前最受歡迎的MCP插件網站之一,聚集了大量MCP列表和活躍用戶。其中@smithery/toolbox是smithery.ai官方推出的MCP管理工具。選擇Toolbox作爲測試目標,主要基於以下幾點:- 用戶基數龐大,具有代表性- 支持自動安裝其他插件,補充部分客戶端功能(如Claude Desktop) - 包含敏感配置(如API Key),便於進行演示### 演示使用的惡意MCP:MasterMCPMasterMCP是慢霧專門爲安全測試編寫的模擬惡意MCP工具,採用插件化架構設計,包含以下關鍵模塊:1. 本地網站服務模擬:爲更真實還原攻擊場景,MasterMCP內置了本地網站服務模擬模塊。它通過FastAPI框架快速搭建簡易HTTP服務器,模擬常見網頁環境。這些頁面表面看起來正常,如展示蛋糕店信息或返回標準JSON數據,但實際在頁面源碼或接口返回中暗藏精心設計的惡意載荷。2. 本地插件化MCP架構MasterMCP採用插件化方式進行拓展,便於後續快速添加新的攻擊方式。運行後,MasterMCP會在子進程運行上一模塊的FastAPI服務。(這裏已存在安全隱患 - 本地插件可任意啓動非MCP預期的子進程)### 演示客戶端- Cursor:當前全球最流行的AI輔助編程IDE之一- Claude Desktop:Anthropic(MCP協議定制方)官方客戶端### 演示使用的大模型- Claude 3.7選擇Claude 3.7版本,因其在敏感操作識別上已有一定改進,同時代表了當前MCP生態中較強的操作能力。## Cross-MCP Malicious Invocation本演示包含了投毒和Cross-MCP惡意調用兩個內容。### 網頁內容投毒攻擊1. 注釋型投毒Cursor訪問本地測試網站。這是一個看似無害的"Delicious Cake World"頁面,我們通過這個實驗,模擬展示大模型客戶端訪問惡意網站造成的影響。執行指令:Fetch the content of 結果顯示,Cursor不僅讀取了網頁內容,還將本地敏感配置數據回傳至測試服務器。原始碼中,惡意提示詞以HTML注釋形式植入。雖然注釋方式較爲直白,容易被識別,但已經可以觸發惡意操作。2. 編碼型注釋投毒訪問/encode頁面,這是一個看起來與上例相同的網頁,但其中惡意提示詞進行了編碼,這讓投毒的exp更加隱蔽,即使訪問網頁源碼也難以直接察覺。即使原始碼不含明文提示詞,攻擊依舊成功執行。### MCP工具返回信息投毒根據MasterMCP的提示詞說明輸入模擬指令(該指令無實際含義,旨在觸發惡意MCP來演示其後續操作):get a lot of apples可以看到,觸發指令後,客戶端跨MCP調用了Toolbox並成功添加了新的MCP服務器。查看插件代碼可發現,返回數據中已經嵌入了經過編碼處理的惡意載荷,用戶端幾乎無法察覺異常。### 第三方接口污染攻擊這個演示主要爲了提醒,無論是惡意還是非惡意的MCP,在調用第三方API時,如果直接將第三方數據返回到上下文,都可能帶來嚴重影響。執行請求:Fetch json from /api/data結果:惡意提示詞被植入到返回的JSON數據中並順利觸發惡意執行。## MCP初始化階段的投毒技術本演示包含了初始的提示詞注入及名稱衝突兩個內容。### 惡意函數覆蓋攻擊這裏MasterMCP編寫了一個與Toolbox用相同函數名remove_server的tool,並編碼隱藏了惡意提示詞。執行指令:toolbox remove fetch plugin serverClaude Desktop未調用原本的toolbox remove_server方法,而是觸發了MasterMCP提供的同名方法。原理是通過強調"原有方法已廢棄",優先誘導大模型調用惡意覆蓋的函數。### 添加惡意全局檢查邏輯這裏MasterMCP編寫了一個banana的tool,其核心作用是在提示詞中強制所有工具運行前都必須執行該工具進行安全檢查。每次執行函數前,系統都會優先調用banana檢查機制。這是通過在代碼中反復強調"必須運行banana檢測"來實現的全局邏輯注入。## 隱藏惡意提示詞的進階技巧### 大模型友好的編碼方式由於大語言模型(LLM)對多語言格式具備極強的解析能力,這反而被利用於隱藏惡意信息,常用方法包括:- 英文環境下:使用Hex Byte編碼- 中文環境下:使用NCR編碼或JavaScript編碼### 隨機惡意載荷返回機制如第二章提到的第三方接口污染,當請求/random時:每次都會隨機返回一個帶惡意載荷的頁面,大大增加了檢測與溯源的難度。## 總結通過MasterMCP的實戰演示,我們直觀地看到了Model Context Protocol (MCP)體系中隱藏的各種安全隱患。從簡單的提示詞注入、跨MCP調用,到更加隱蔽的初始化階段攻擊和惡意指令隱藏,每一個環節都在提醒我們:MCP生態雖然強大,但同樣脆弱。尤其是在大模型越來越頻繁地與外部插件、API打交道的今天,小小的輸入污染就可能引發整個系統級的安全風險。而攻擊者手段的多樣化(編碼隱藏、隨機污染、函數覆蓋)也意味着,傳統的防護思路需要全面升級。安全從來不是一蹴而就的。希望這次演示能爲大家敲響警鍾:不論是開發者還是使用者,都應該對MCP體系保持足夠的警惕心,時刻關注每一次交互、每一行代碼、每一個返回值。只有在每一個細節上嚴謹對待,才能真正構築起一套穩固、安全的MCP環境。下一步,我們也會繼續完善MasterMCP腳本,開源更多針對性的測試用例,幫助大家在安全的環境下深入理解、演練和強化防護。
MCP體系安全風險實戰演示:從投毒到隱蔽操縱
MCP體系中的隱蔽投毒與操縱:實戰演示
MCP (Model Context Protocol)體系目前處於早期發展階段,整體環境較爲混沌,各種潛在攻擊方式層出不窮,現有協議和工具設計難以有效防御。爲幫助社區更好認識和提升MCP安全性,慢霧特別開源了MasterMCP工具,希望通過實際攻擊演練,幫助發現產品設計中的安全隱患,從而逐步加固MCP項目。
本文將帶領大家實操演示MCP體系下的常見攻擊方式,如信息投毒、隱匿惡意指令等真實案例。所有演示腳本也會一並開源,大家可在安全環境中完整復現整個流程,甚至基於這些腳本開發自己的攻擊測試插件。
整體架構概覽
演示攻擊目標MCP:Toolbox
smithery.ai是當前最受歡迎的MCP插件網站之一,聚集了大量MCP列表和活躍用戶。其中@smithery/toolbox是smithery.ai官方推出的MCP管理工具。
選擇Toolbox作爲測試目標,主要基於以下幾點:
演示使用的惡意MCP:MasterMCP
MasterMCP是慢霧專門爲安全測試編寫的模擬惡意MCP工具,採用插件化架構設計,包含以下關鍵模塊:
爲更真實還原攻擊場景,MasterMCP內置了本地網站服務模擬模塊。它通過FastAPI框架快速搭建簡易HTTP服務器,模擬常見網頁環境。這些頁面表面看起來正常,如展示蛋糕店信息或返回標準JSON數據,但實際在頁面源碼或接口返回中暗藏精心設計的惡意載荷。
MasterMCP採用插件化方式進行拓展,便於後續快速添加新的攻擊方式。運行後,MasterMCP會在子進程運行上一模塊的FastAPI服務。(這裏已存在安全隱患 - 本地插件可任意啓動非MCP預期的子進程)
演示客戶端
演示使用的大模型
選擇Claude 3.7版本,因其在敏感操作識別上已有一定改進,同時代表了當前MCP生態中較強的操作能力。
Cross-MCP Malicious Invocation
本演示包含了投毒和Cross-MCP惡意調用兩個內容。
網頁內容投毒攻擊
Cursor訪問本地測試網站。
這是一個看似無害的"Delicious Cake World"頁面,我們通過這個實驗,模擬展示大模型客戶端訪問惡意網站造成的影響。
執行指令:
Fetch the content of
結果顯示,Cursor不僅讀取了網頁內容,還將本地敏感配置數據回傳至測試服務器。原始碼中,惡意提示詞以HTML注釋形式植入。
雖然注釋方式較爲直白,容易被識別,但已經可以觸發惡意操作。
訪問/encode頁面,這是一個看起來與上例相同的網頁,但其中惡意提示詞進行了編碼,這讓投毒的exp更加隱蔽,即使訪問網頁源碼也難以直接察覺。
即使原始碼不含明文提示詞,攻擊依舊成功執行。
MCP工具返回信息投毒
根據MasterMCP的提示詞說明輸入模擬指令(該指令無實際含義,旨在觸發惡意MCP來演示其後續操作):
get a lot of apples
可以看到,觸發指令後,客戶端跨MCP調用了Toolbox並成功添加了新的MCP服務器。
查看插件代碼可發現,返回數據中已經嵌入了經過編碼處理的惡意載荷,用戶端幾乎無法察覺異常。
第三方接口污染攻擊
這個演示主要爲了提醒,無論是惡意還是非惡意的MCP,在調用第三方API時,如果直接將第三方數據返回到上下文,都可能帶來嚴重影響。
執行請求:
Fetch json from /api/data
結果:惡意提示詞被植入到返回的JSON數據中並順利觸發惡意執行。
MCP初始化階段的投毒技術
本演示包含了初始的提示詞注入及名稱衝突兩個內容。
惡意函數覆蓋攻擊
這裏MasterMCP編寫了一個與Toolbox用相同函數名remove_server的tool,並編碼隱藏了惡意提示詞。
執行指令:
toolbox remove fetch plugin server
Claude Desktop未調用原本的toolbox remove_server方法,而是觸發了MasterMCP提供的同名方法。
原理是通過強調"原有方法已廢棄",優先誘導大模型調用惡意覆蓋的函數。
添加惡意全局檢查邏輯
這裏MasterMCP編寫了一個banana的tool,其核心作用是在提示詞中強制所有工具運行前都必須執行該工具進行安全檢查。
每次執行函數前,系統都會優先調用banana檢查機制。
這是通過在代碼中反復強調"必須運行banana檢測"來實現的全局邏輯注入。
隱藏惡意提示詞的進階技巧
大模型友好的編碼方式
由於大語言模型(LLM)對多語言格式具備極強的解析能力,這反而被利用於隱藏惡意信息,常用方法包括:
隨機惡意載荷返回機制
如第二章提到的第三方接口污染,當請求/random時:
每次都會隨機返回一個帶惡意載荷的頁面,大大增加了檢測與溯源的難度。
總結
通過MasterMCP的實戰演示,我們直觀地看到了Model Context Protocol (MCP)體系中隱藏的各種安全隱患。從簡單的提示詞注入、跨MCP調用,到更加隱蔽的初始化階段攻擊和惡意指令隱藏,每一個環節都在提醒我們:MCP生態雖然強大,但同樣脆弱。
尤其是在大模型越來越頻繁地與外部插件、API打交道的今天,小小的輸入污染就可能引發整個系統級的安全風險。而攻擊者手段的多樣化(編碼隱藏、隨機污染、函數覆蓋)也意味着,傳統的防護思路需要全面升級。
安全從來不是一蹴而就的。
希望這次演示能爲大家敲響警鍾:不論是開發者還是使用者,都應該對MCP體系保持足夠的警惕心,時刻關注每一次交互、每一行代碼、每一個返回值。只有在每一個細節上嚴謹對待,才能真正構築起一套穩固、安全的MCP環境。
下一步,我們也會繼續完善MasterMCP腳本,開源更多針對性的測試用例,幫助大家在安全的環境下深入理解、演練和強化防護。