MCP sistemindeki gizli zehirleme ve manipülasyon: Gerçek zamanlı gösterim

MCP (Model Context Protocol) sistemi şu anda erken gelişim aşamasındadır, genel ortam oldukça karmaşık, çeşitli potansiyel saldırı yöntemleri ortaya çıkmakta, mevcut protokoller ve araçların tasarımı etkili bir savunma sağlamakta zorlanmaktadır. Topluluğun MCP'nin güvenliğini daha iyi anlaması ve geliştirmesi için, MasterMCP adında bir açık kaynak aracı ortaya çıkmıştır. Bu araç, gerçek saldırı tatbikatları aracılığıyla geliştiricilerin ürün tasarımındaki güvenlik açıklarını zamanında tespit etmelerine yardımcı olmayı ve böylece MCP projesini kademeli olarak güçlendirmeyi amaçlamaktadır.

Bu makale okuyucuları pratik yapmaya davet edecek ve MCP sistemi altında yaygın saldırı yöntemlerini, örneğin bilgi zehirleme, gizli kötü niyetli komutlar gibi gerçek vakaları gösterecektir. Tüm gösterimlerde kullanılan scriptler de açık kaynak olarak sunulacak, okuyucular güvenli bir ortamda tüm süreci tamamen yeniden oluşturabilir ve hatta bu scriptler temelinde kendi saldırı test eklentilerini geliştirebilirler.

Genel Mimarinin Gözden Geçirilmesi

Saldırı Hedefi MCP: Toolbox

Bir eklenti sitesi, şu anda en popüler MCP eklenti sitelerinden biridir ve çok sayıda MCP listesi ve aktif kullanıcıyı bir araya getirir. Resmi olarak sunulan MCP yönetim aracı Toolbox, aşağıdaki nedenlere dayanarak test hedefi olarak seçilmiştir:

• Kullanıcı tabanı büyük, temsili.
• Diğer eklentilerin otomatik olarak yüklenmesini destekler, istemci işlevlerini tamamlar.
• Hassas yapılandırmalar ( gibi API Anahtarını ) içerir, sunum yapılmasını kolaylaştırır.

kötü niyetli MCP kullanımı için gösterim: MasterMCP

MasterMCP, güvenlik testleri için özel olarak geliştirilmiş bir kötü amaçlı MCP simülasyon aracıdır; eklenti mimarisi tasarımıyla, aşağıdaki ana modülleri içermektedir:

1. Yerel web sitesi hizmeti simülasyonu:

Saldırı senaryolarını daha gerçekçi bir şekilde yeniden oluşturmak için, MasterMC, yerel bir web sitesi hizmeti simülasyon modülü içerir. Hızlı bir şekilde basit bir HTTP sunucusu kurmak için FastAPI çerçevesini kullanarak yaygın web sayfası ortamını simüle eder. Bu sayfalar yüzeyde normal görünüyor, ancak aslında sayfa kaynak kodu veya API yanıtında özenle tasarlanmış kötü niyetli yükler gizlenmiştir.

Bu şekilde, güvenli ve kontrollü bir yerel ortamda bilgi zehirleme, komut gizleme gibi saldırı tekniklerini tam olarak sergileyebiliriz ve okuyucuların daha somut bir şekilde anlamalarına yardımcı olabiliriz: görünüşte sıradan bir web sayfası bile, büyük modellerin anormal işlemler gerçekleştirmesini tetikleyebilecek bir risk kaynağı olabilir.

2. Yerel Eklentili MCP Mimarisi

MasterMCP, yeni saldırı yöntemlerini hızlı bir şekilde eklemek için eklenti tabanlı bir yaklaşım benimsemiştir. Çalıştırıldığında, MasterMCP bir alt süreçte önceki modülün FastAPI hizmetini çalıştıracaktır. (Dikkatli okuyucular burada bir güvenlik açığı olduğunu fark edecektir - yerel eklentiler, MCP'nin beklemediği alt süreçleri istedikçe başlatabilir.)

Demo İstemcisi

• Cursor: Dünyada en popüler AI destekli programlama IDE'lerinden biri
• Claude Desktop: Bir büyük model şirketinin resmi istemcisi

demo amaçlı kullanılan büyük model

• Claude 3.7

Claude 3.7 sürümünü seçin, çünkü hassas işlem tanıma konusunda belirli iyileştirmeler yapılmıştır ve aynı zamanda mevcut MCP ekosisteminde güçlü bir işlem yeteneğini temsil etmektedir.

Cross-MCP Kötü Niyetli Çağrı

Bu sunum, zehirleme ve Cross-MCP kötü niyetli çağrısı olmak üzere iki içeriği içermektedir.

web içeriği zehirleme saldırısı

1. Açıklamalı zehirleme

Cursor, yerel test web sitesine erişiyor. Bu, "Lezzetli Kek Dünyası" hakkında masum görünen bir sayfa; bu deneyle, büyük model istemcisinin kötü niyetli bir web sitesine erişiminin etkilerini simüle ediyoruz.

Talimatları yerine getir:

İçeriği al

Sonuçlar, Cursor'un yalnızca web içeriğini okumakla kalmadığını, aynı zamanda yerel hassas yapılandırma verilerini test sunucusuna geri ilettiğini göstermektedir. Kaynak kodunda, kötü niyetli anahtar kelimeler HTML yorumları biçiminde yerleştirilmiştir.

Açıklama yöntemi oldukça açıktır ve kolayca tanınabilir, ancak kötü niyetli işlemleri tetikleyebilir.

2. Kodlama Tabanlı Yorum Zehirleme

/encode sayfasına erişin, bu yukarıdaki örnekle aynı görünen bir web sayfasıdır, ancak içindeki kötü niyetli anahtar kelimeler kodlanmıştır, bu da zehirleme deneyimini daha gizli hale getirir, web sayfasının kaynak koduna erişseniz bile doğrudan fark etmek zordur.

Kaynak kodu açık metin ipuçları içermese bile, saldırı yine de başarılı bir şekilde gerçekleştirildi, tam prensip sonraki bölümlerde detaylı olarak açıklanacaktır.

MCP araç geri dönüş bilgisi zehirleme

Burada MasterMCP'nin ipucu açıklamalarına göre ( simülasyon komutunu girmekteyiz, bu komutun gerçek bir anlamı yoktur, kötü niyetli MCP'yi tetiklemek ve kötü niyetli MCP'nin sonraki işlemlerini göstermek amacıyla ):

birçok elma al

Görülebilir ki, komut tetiklendiğinde, istemci MCP üzerinden Toolbox'u çağırdı ve yeni bir MCP sunucusu başarıyla eklendi.

Eklenti kodunu incelediğinizde, dönen verilerde kodlanmış kötü amaçlı yüklerin gömülü olduğu görülebilir, kullanıcı tarafında anormal durumlar neredeyse fark edilemez.

Üçüncü taraf arayüzü kirletme saldırısı

Bu gösterim, herkese hatırlatmak içindir ki, kötü niyetli veya kötü niyetli olmayan MCP'ler, üçüncü taraf API'lerini çağırırken, üçüncü taraf verilerini doğrudan bağlama geri dönerlerse, ciddi etkilere yol açabilir.

İstek gerçekleştiriliyor:

/api/data adresinden json al

Sonuç: Kötü niyetli ipuçları dönen JSON verisine yerleştirildi ve kötü niyetli yürütme başarılı bir şekilde tetiklendi.

MCP başlangıç aşamasının zehirleme tekniği

Bu gösterim, başlangıçta ipucu ekleme ve isim çakışması olmak üzere iki içeriği içermektedir.

Kötü niyetli fonksiyon örtme saldırısı

Burada MasterMCP, Toolbox ile aynı fonksiyon adı olan remove_server'ı yazdı ve kötü niyetli ipuçlarını gizleyerek kodladı.

Talimatı yerine getir:

alet kutusu eklentiyi kaldır fetch sunucusu

Claude Desktop, orijinal toolbox remove_server yöntemini çağırmak yerine, MasterMCP tarafından sağlanan aynı isimdeki yöntemi tetikledi.

Prensip, "eski yöntem terk edildi" vurgusunu yaparak büyük modelin kötü niyetli olarak üzerine yazılmış fonksiyonu çağırmasını öncelikle teşvik etmektir.

kötü niyetli global kontrol mantığı ekle

Burada MasterMCP, banana adında bir araç geliştirdi, bu aracın temel işlevi, tüm araçların çalışmadan önce bu aracı güvenlik kontrolü yapmak zorunda olmalarını zorunlu kılmaktır.

Her seferinde fonksiyon yürütülmeden önce, sistem önce banana kontrol mekanizmasını çağırır.

Bu, kodda "banana kontrolünün çalıştırılması zorunludur" ifadesini sürekli vurgulayarak gerçekleştirilen küresel bir mantık enjekte etme yöntemidir.

Kötü niyetli anahtar kelimeleri gizlemenin ileri teknikleri

Büyük model dostu kodlama biçimi

Büyük dil modeli (LLM), çok dilli formatları anlama konusunda son derece güçlü bir yeteneğe sahip olduğundan, bu durum kötü niyetli bilgilerin gizlenmesi için kullanılmaktadır. Yaygın yöntemler arasında şunlar bulunmaktadır:

• İngilizce ortamda: Hex Byte kodlaması kullanarak
• Türkçe ortamda: NCR kodlaması veya JavaScript kodlaması kullanın

Rastgele Kötü Niyetli Yük Geri Dönüş Mekanizması

İkinci bölümde bahsedilen üçüncü taraf arayüzü kirlenmesi durumunda, /random isteği yapıldığında, her seferinde kötü niyetli yük içeren rastgele bir sayfa döndürülmekte, bu da tespit ve izleme zorluğunu büyük ölçüde artırmaktadır.

Özet

Bu MasterMCP uygulamalı demosu sayesinde, Model Context Protocol (MCP) sisteminde gizli çeşitli güvenlik açıklarını gözler önüne serdik. Basit ipucu enjeksiyonundan, MCP'ler arası çağrılara, daha gizli olan başlangıç aşaması saldırılarına ve kötü niyetli komut gizlemeye kadar her aşama bize hatırlatıyor ki: MCP ekosistemi güçlü olsa da, aynı zamanda kırılgandır.

Özellikle büyük modellerin giderek daha sık dış eklentilerle, API'lerle etkileşimde bulunduğu günümüzde, küçük bir girdi kirlenmesi tüm sistem seviyesinde güvenlik riskleri doğurabilir. Saldırganların yöntemlerinin çeşitlenmesi ( kodlama gizleme, rastgele kirlenme, fonksiyon örtme ) aynı zamanda, geleneksel koruma yaklaşımlarının kapsamlı bir şekilde güncellenmesi gerektiği anlamına geliyor.

Güven asla bir anda elde edilmez.

Umarım bu sunum herkesi uyandırır: Geliştirici ya da kullanıcı olsun, herkes MCP sistemine karşı yeterince dikkatli olmalı, her etkileşimi, her satır kodu, her geri dönüş değerini sürekli izlemelidir. Her bir ayrıntıya titizlikle yaklaşarak, gerçekten sağlam ve güvenli bir MCP ortamı inşa edebiliriz.

Sonraki adımda, MasterMCP betiğini geliştirmeye devam edeceğiz, daha fazla hedefe yönelik test senaryosunu açık kaynak olarak sunacağız, böylece herkes güvenli bir ortamda derinlemesine anlayabilir, pratik yapabilir ve koruma güçlendirebilir.