MCP 体系安全隐患及防御探讨

MCP (Model Context Protocol) 体系目前处于早期发展阶段，整体环境较为混沌，各种潜在攻击方式层出不穷，现有协议和工具设计难以有效防御。为提升 MCP 安全性，慢雾开源了 MasterMCP 工具，旨在通过实际攻击演练帮助发现产品设计中的安全隐患，逐步加固 MCP 项目。

本文将结合 MCP 安全检查清单，带领读者动手实操，演示 MCP 体系下的常见攻击方式，如信息投毒、隐匿恶意指令等真实案例。所有演示脚本将一并开源，供大家在安全环境中复现和开发自己的攻击测试插件。

整体架构概览

演示攻击目标 MCP：Toolbox

Toolbox 是某 MCP 插件网站推出的官方 MCP 管理工具。选择 Toolbox 作为测试目标主要基于以下几点：

• 用户基数庞大，具有代表性
• 支持自动安装其他插件，补充部分客户端功能
• 包含敏感配置，便于进行演示

演示使用的恶意 MCP：MasterMCP

MasterMCP 是专门为安全测试编写的模拟恶意 MCP 工具，采用插件化架构设计，包含以下关键模块：

1. 本地网站服务模拟：通过 FastAPI 框架搭建简易 HTTP 服务器，模拟常见网页环境。这些页面表面正常，但实际在源码或接口返回中隐藏了精心设计的恶意载荷。

2. 本地插件化 MCP 架构：采用插件化方式进行拓展，方便后续快速添加新的攻击方式。运行后，MasterMCP 会在子进程启动 FastAPI 服务。

演示客户端

• Cursor：全球流行的 AI 辅助编程 IDE 之一
• Claude Desktop：某公司官方客户端

演示使用的大模型

选择 Claude 3.7 版本，因其在敏感操作识别上已有一定改进，同时代表了当前 MCP 生态中较强的操作能力。

Cross-MCP 恶意调用

网页内容投毒攻击

1. 注释型投毒

通过访问本地测试网站，模拟大模型客户端访问恶意网站的影响。结果显示，客户端不仅读取了网页内容，还将本地敏感配置数据回传至测试服务器。恶意提示词以 HTML 注释形式植入，虽然较为直白，但已能触发恶意操作。

2. 编码型注释投毒

访问编码后的恶意网页，即使源代码不含明文提示词，攻击依旧成功执行。这种方式让投毒更加隐蔽，难以直接察觉。

第三方接口污染攻击

演示表明，无论是恶意还是非恶意的 MCP，在调用第三方 API 时，直接将第三方数据返回上下文都可能带来严重影响。恶意提示词可被植入返回的 JSON 数据中并顺利触发恶意执行。

MCP 初始化阶段的投毒技术

恶意函数覆盖攻击

MasterMCP 编写了与 Toolbox 同名的函数，并编码隐藏恶意提示词。通过强调"原有方法已废弃"，诱导大模型优先调用恶意覆盖的函数。

添加恶意全局检查逻辑

MasterMCP 编写了一个强制所有工具运行前都必须执行安全检查的工具。通过在代码中反复强调"必须运行检测"来实现全局逻辑注入。

隐藏恶意提示词的进阶技巧

大模型友好的编码方式

利用大语言模型对多语言格式的强解析能力隐藏恶意信息：

• 英文环境：使用 Hex Byte 编码
• 中文环境：使用 NCR 编码或 JavaScript 编码

随机恶意载荷返回机制

每次请求随机返回带恶意载荷的页面，增加检测与溯源难度。

总结

MasterMCP 实战演示揭示了 MCP 体系中的各种安全隐患。从简单提示词注入到隐蔽的初始化阶段攻击，每个环节都提醒我们 MCP 生态的脆弱性。大模型与外部插件、API 的频繁交互，使得小小的输入污染可能引发系统级安全风险。

攻击者手段的多样化（编码隐藏、随机污染、函数覆盖）意味着传统防护思路需要全面升级。开发者和使用者都应对 MCP 体系保持警惕，关注每次交互、每行代码、每个返回值。只有在细节上严谨对待，才能构筑稳固、安全的 MCP 环境。

未来将继续完善 MasterMCP 脚本，开源更多针对性测试用例，帮助在安全环境下深入理解、演练和强化防护。