MCP体系的安全隐患与攻击演示

MCP (Model Context Protocol) 体系目前仍处于早期发展阶段，整体环境较为混沌，各种潜在的攻击方式层出不穷。为了提升 MCP 的安全性，慢雾开源了 MasterMCP 工具，通过实际攻击演练帮助发现产品设计中的安全隐患。本文将演示 MCP 体系下的常见攻击方式，如信息投毒、隐匿恶意指令等真实案例。

整体架构概览

攻击目标 MCP：Toolbox

Toolbox 是 smithery.ai 官方推出的 MCP 管理工具，选择它作为测试目标主要基于以下几点：

• 用户基数庞大，具有代表性
• 支持自动安装其他插件，补充部分客户端功能
• 包含敏感配置，便于进行演示

恶意 MCP：MasterMCP

MasterMCP 是专门为安全测试编写的模拟恶意 MCP 工具，采用插件化架构设计，包含以下关键模块：

1. 本地网站服务模拟：通过 FastAPI 框架搭建简易 HTTP 服务器，模拟常见网页环境。

2. 本地插件化 MCP 架构：采用插件化方式进行拓展，便于快速添加新的攻击方式。

演示客户端

• Cursor：全球流行的 AI 辅助编程 IDE 之一
• Claude Desktop：Anthropic 官方客户端

演示使用的大模型

• Claude 3.7

Cross-MCP 恶意调用

网页内容投毒攻击

1. 注释型投毒

通过在网页源码中植入 HTML 注释形式的恶意提示词，成功触发了恶意操作。

2. 编码型注释投毒

即使源代码不含明文提示词，攻击依旧成功执行。恶意提示词经过编码处理，难以直接察觉。

第三方接口污染攻击

演示表明，无论是恶意还是非恶意的 MCP，在调用第三方 API 时，如果直接将第三方数据返回到上下文，都可能带来严重影响。

MCP 初始化阶段的投毒技术

恶意函数覆盖攻击

MasterMCP 编写了一个与 Toolbox 同名的 remove_server 函数，并编码隐藏了恶意提示词。通过强调"原有方法已废弃"，诱导大模型优先调用恶意覆盖的函数。

添加恶意全局检查逻辑

MasterMCP 编写了一个 banana 工具，在提示词中强制所有工具运行前都必须执行该工具进行安全检查。这是通过反复强调"必须运行 banana 检测"来实现的全局逻辑注入。

隐藏恶意提示词的进阶技巧

大模型友好的编码方式

利用大语言模型对多语言格式的强大解析能力来隐藏恶意信息：

• 英文环境：使用 Hex Byte 编码
• 中文环境：使用 NCR 编码或 JavaScript 编码

随机恶意载荷返回机制

每次请求都随机返回带有恶意载荷的页面，增加检测与溯源的难度。

总结

MasterMCP 的实战演示揭示了 MCP 体系中的各种安全隐患。从简单的提示词注入到更隐蔽的初始化阶段攻击，每个环节都提醒我们 MCP 生态的脆弱性。在大模型频繁与外部插件、API 交互的今天，小小的输入污染可能引发系统级安全风险。

攻击者手段的多样化（编码隐藏、随机污染、函数覆盖）意味着传统防护思路需要全面升级。开发者和使用者都应对 MCP 体系保持警惕，关注每一次交互、每一行代码、每一个返回值。只有在细节上严谨对待，才能构筑稳固、安全的 MCP 环境。

相关内容已同步至 GitHub，感兴趣的读者可进一步探索。