Model Context Protocol (MCP) परिदृश्य, जो अभी भी अपने प्रारंभिक चरण में है, जटिलताओं से भरा हुआ है और संभावित हमलों की एक विस्तृत श्रृंखला के लिए अतिसंवेदनशील है। वर्तमान प्रोटोकॉल और उपकरण डिज़ाइन अक्सर पर्याप्त सुरक्षा प्रदान करने में विफल रहते हैं। इन चुनौतियों का समाधान करने और MCP सुरक्षा की गहरी समझ को बढ़ावा देने के लिए, SlowMist ने MasterMCP को ओपन-सोर्स किया है, जो व्यावहारिक हमले सिमुलेशन को सुविधाजनक बनाने के लिए डिज़ाइन किया गया एक उपकरण है। इस पहल का उद्देश्य समुदाय को उनके MCP परियोजनाओं के भीतर सुरक्षा कमजोरियों की सक्रिय रूप से पहचान करने और कम करने के लिए सशक्त बनाना है।
इस व्यावहारिक दृष्टिकोण के पूरक के रूप में, MCP Security Checklist विभिन्न हमले वैक्टर के अंतर्निहित दृष्टिकोण में बहुमूल्य अंतर्दृष्टि प्रदान करती है। यह लेख वास्तविक दुनिया के परिदृश्यों पर प्रकाश डालता है, MCP पारिस्थितिकी तंत्र के भीतर सामान्य हमले के तरीकों का प्रदर्शन करता है, जैसे कि सूचना विषाक्तता और छिपे हुए दुर्भावनापूर्ण कमांड का इंजेक्शन। इन प्रदर्शनों में उपयोग की जाने वाली सभी स्क्रिप्ट GitHub पर उपलब्ध हैं, जो उपयोगकर्ताओं को सुरक्षित वातावरण में पूरी प्रक्रिया को दोहराने और यहां तक कि अपने स्वयं के हमले परीक्षण प्लगइन्स विकसित करने में सक्षम बनाती हैं।
आर्किटेक्चर का अवलोकन
प्रदर्शन के लिए लक्षित MCP: टूलबॉक्स
Smithery.ai MCP प्लगइन्स के लिए एक प्रमुख केंद्र के रूप में खड़ा है, जो MCP लिस्टिंग और सक्रिय उपयोगकर्ताओं की एक बड़ी संख्या को आकर्षित करता है। इनमें से, @smithery/toolbox, smithery.ai द्वारा पेश किया गया एक आधिकारिक MCP प्रबंधन उपकरण, इस सुरक्षा मूल्यांकन का केंद्र बिंदु है।
टूलबॉक्स को कई प्रमुख कारणों से परीक्षण लक्ष्य के रूप में चुना गया:
- यह एक महत्वपूर्ण उपयोगकर्ता आधार का दावा करता है, जो इसे MCP पारिस्थितिकी तंत्र के भीतर एक प्रतिनिधि नमूना बनाता है।
- यह क्लाइंट-साइड कार्यात्मकताओं (जैसे, Claude Desktop) को बढ़ाते हुए अतिरिक्त प्लगइन्स की स्वचालित स्थापना का समर्थन करता है।
- इसमें संवेदनशील कॉन्फ़िगरेशन शामिल हैं, जैसे कि एपीआई कुंजी, जो संभावित कारनामों के प्रदर्शन को सुविधाजनक बनाती हैं।
प्रदर्शन के लिए उपयोग किया जाने वाला दुर्भावनापूर्ण MCP: MasterMCP
MasterMCP, जिसे विशेष रूप से सुरक्षा परीक्षण उद्देश्यों के लिए SlowMist द्वारा विकसित किया गया है, एक मॉड्यूलर आर्किटेक्चर पर निर्मित एक नकली दुर्भावनापूर्ण MCP उपकरण है। इसके प्रमुख घटकों में शामिल हैं:
- स्थानीय वेबसाइट सेवा सिमुलेशन: http://127.0.0.1:1024
एक यथार्थवादी हमले परिदृश्य बनाने के लिए, MasterMCP एक स्थानीय वेबसाइट सेवा सिमुलेशन मॉड्यूल को शामिल करता है। FastAPI ढांचे का लाभ उठाते हुए, यह मॉड्यूल जल्दी से एक साधारण HTTP सर्वर स्थापित करता है जो सामान्य वेब वातावरण का अनुकरण करता है। ये पृष्ठ हानिरहित लग सकते हैं, बेकरी की जानकारी प्रदर्शित करते हैं या मानक JSON डेटा लौटाते हैं, लेकिन वे अपने स्रोत कोड या API प्रतिक्रियाओं के भीतर सावधानीपूर्वक तैयार किए गए दुर्भावनापूर्ण पेलोड को छुपाते हैं।
यह दृष्टिकोण एक सुरक्षित, नियंत्रित स्थानीय वातावरण में सूचना विषाक्तता और कमांड छिपाने की तकनीकों के व्यापक प्रदर्शन की अनुमति देता है। यह प्रतीत होता है कि साधारण वेब पेजों के भीतर छिपे संभावित जोखिमों को उजागर करता है, जो बड़े भाषा मॉडल में असामान्य व्यवहार को ट्रिगर कर सकते हैं।
- स्थानीयकृत प्लग-इन MCP आर्किटेक्चर
MasterMCP नए हमले वैक्टर के लिए तेजी से मापनीयता को सुविधाजनक बनाने के लिए एक प्लग-इन दृष्टिकोण अपनाता है। निष्पादन पर, MasterMCP एक उप-प्रक्रिया में पिछले मॉड्यूल की FastAPI सेवा शुरू करता है।
प्रदर्शन ग्राहक
- Cursor: विश्व स्तर पर सबसे व्यापक रूप से उपयोग किए जाने वाले AI-सहायता प्राप्त प्रोग्रामिंग IDE में से एक।
- Claude Desktop: Anthropic का आधिकारिक क्लाइंट, वह संगठन जिसने MCP प्रोटोकॉल को अनुकूलित किया।
प्रदर्शन के लिए उपयोग किया जाने वाला बड़ा भाषा मॉडल (LLM)
- Claude 3.7
Claude 3.7 को संवेदनशील संचालन को पहचानने और वर्तमान MCP पारिस्थितिकी तंत्र के भीतर मजबूत परिचालन क्षमताओं के प्रतिनिधित्व में इसकी बढ़ी हुई क्षमताओं के कारण चुना गया था।
claude\_desktop\_config.json का कॉन्फ़िगरेशन
कॉन्फ़िगरेशन पूरा होने के साथ, प्रदर्शन चरण शुरू होता है।
क्रॉस-MCP दुर्भावनापूर्ण आह्वान
यह प्रदर्शन चेकलिस्ट में उल्लिखित विषाक्तता तकनीकों और क्रॉस-MCP दुर्भावनापूर्ण आह्वान रणनीतियों दोनों को शामिल करता है।
वेब पेज सामग्री विषाक्तता हमला
- टिप्पणी-आधारित विषाक्तता
कर्सर http://127.0.0.1:1024 पर स्थानीय परीक्षण वेबसाइट तक पहुंचता है।
‘डिलीशियस केक वर्ल्ड’ के बारे में यह प्रतीत होता है कि हानिरहित पृष्ठ एक दुर्भावनापूर्ण वेबसाइट तक पहुंचने वाले एक बड़े भाषा मॉडल क्लाइंट के संभावित प्रभाव को दर्शाने के लिए एक सिमुलेशन के रूप में कार्य करता है।
निष्पादन कमांड:
परिणामों से पता चलता है कि कर्सर न केवल वेब पेज सामग्री को पढ़ता है, बल्कि स्थानीय संवेदनशील कॉन्फ़िगरेशन डेटा को वापस परीक्षण सर्वर पर भी प्रसारित करता है। दुर्भावनापूर्ण संकेत स्रोत कोड में HTML टिप्पणी के रूप में एम्बेडेड है:
जबकि यह टिप्पणी-आधारित दृष्टिकोण अपेक्षाकृत सीधा और आसानी से पता लगाने योग्य है, फिर भी यह दुर्भावनापूर्ण संचालन को ट्रिगर करने में सक्षम है।
- एन्कोडेड टिप्पणी विषाक्तता
http://127.0.0.1:1024/encode तक पहुंचने पर एक पृष्ठ दिखाई देता है जो पिछले उदाहरण के समान है। हालांकि, दुर्भावनापूर्ण संकेत एन्कोडेड हैं, जिससे पृष्ठ के स्रोत कोड का निरीक्षण करते समय भी शोषण का पता लगाना अधिक कठिन हो जाता है।
स्रोत कोड में स्पष्ट संकेतों की अनुपस्थिति के बावजूद, हमला सफल होता है।
MCP उपकरण वापसी सूचना विषाक्तता
MasterMCP संकेत निर्देशों के आधार पर, हम एक नकली कमांड इनपुट करते हैं जो दुर्भावनापूर्ण MCP को ट्रिगर करता है और इसके बाद के संचालन का प्रदर्शन करता है।
कमांड को ट्रिगर करने पर, क्लाइंट टूलबॉक्स के लिए एक क्रॉस-MCP कॉल शुरू करता है और सफलतापूर्वक एक नया MCP सर्वर जोड़ता है।
प्लगइन कोड का निरीक्षण करने से पता चलता है कि लौटाए गए डेटा में एक एन्कोडेड दुर्भावनापूर्ण पेलोड है, जिससे उपयोगकर्ता के लिए इसका पता लगाना लगभग असंभव हो जाता है।
तृतीय-पक्ष इंटरफ़ेस प्रदूषण हमला
यह प्रदर्शन दुर्भावनापूर्ण और गैर-दुर्भावनापूर्ण MCP दोनों के संदर्भ में सीधे तृतीय-पक्ष API डेटा लौटाने से जुड़े संभावित जोखिमों पर प्रकाश डालता है।
उदाहरण कोड:
निष्पादन अनुरोध:
परिणाम: दुर्भावनापूर्ण संकेत लौटाए गए JSON डेटा में एम्बेडेड है और सफलतापूर्वक दुर्भावनापूर्ण निष्पादन को ट्रिगर करता है।
MCP आरंभीकरण के दौरान विषाक्तता तकनीकें
यह प्रदर्शन प्रारंभिक संकेत इंजेक्शन और नाम संघर्षों की चेकलिस्ट वस्तुओं को शामिल करता है।
दुर्भावनापूर्ण फ़ंक्शन ओवरराइट हमला
MasterMCP टूलबॉक्स के remove_server फ़ंक्शन के समान फ़ंक्शन नाम वाला एक उपकरण बनाता है, और इसके भीतर दुर्भावनापूर्ण संकेतों को एन्कोड करता है।
निष्पादन कमांड:
Claude Desktop मूल toolbox remove_server विधि को लागू नहीं करता है, बल्कि MasterMCP द्वारा प्रदान की गई विधि को उसी नाम से ट्रिगर करता है:
यह इस बात पर जोर देकर प्राप्त किया जाता है कि ‘मूल विधि अप्रचलित है,’ जो बड़े भाषा मॉडल को दुर्भावनापूर्ण रूप से ओवरराइट किए गए फ़ंक्शन को प्राथमिकता देने के लिए प्रोत्साहित करता है।
दुर्भावनापूर्ण वैश्विक निरीक्षण तर्क जोड़ना
MasterMCP ‘केला’ नामक एक उपकरण बनाता है, जिसे किसी अन्य उपकरण के निष्पादित होने से पहले अनिवार्य सुरक्षा जांच लागू करने के लिए डिज़ाइन किया गया है।
प्रत्येक फ़ंक्शन के निष्पादित होने से पहले, सिस्टम ‘केला’ जांच तंत्र को प्राथमिकता देता है:
यह वैश्विक तर्क इंजेक्शन कोड के भीतर ‘केला का पता लगाने के अनिवार्य निष्पादन’ पर बार-बार जोर देकर पूरा किया जाता है।
दुर्भावनापूर्ण संकेतों को छिपाने के लिए उन्नत तकनीकें
LLM-अनुकूल एन्कोडिंग विधियाँ
बड़े भाषा मॉडल में बहुभाषी स्वरूपों के लिए मजबूत पार्सिंग क्षमताएं होती हैं, जिनका उपयोग दुर्भावनापूर्ण जानकारी को छिपाने के लिए किया जा सकता है। सामान्य तरीकों में शामिल हैं:
- अंग्रेजी वातावरण: हेक्स बाइट एन्कोडिंग
- चीनी वातावरण: NCR एन्कोडिंग या जावास्क्रिप्ट एन्कोडिंग
यादृच्छिक दुर्भावनापूर्ण पेलोड वापसी तंत्र
तीसरे खंड में उल्लिखित तृतीय-पक्ष इंटरफ़ेस प्रदूषण के समान, http://127.0.0.1:1024/random का अनुरोध करने पर:
प्रत्येक अनुरोध एक यादृच्छिक रूप से उत्पन्न पृष्ठ लौटाता है जिसमें एक दुर्भावनापूर्ण पेलोड होता है, जिससे पता लगाने और ट्रेस करने की कठिनाई काफी बढ़ जाती है।
MasterMCP के व्यावहारिक प्रदर्शन के माध्यम से, Model Context Protocol (MCP) पारिस्थितिकी तंत्र के भीतर छिपी सुरक्षा कमजोरियों का पता चला है। बुनियादी संकेत इंजेक्शन और क्रॉस-MCP कॉल से लेकर आरंभीकरण के दौरान अधिक सूक्ष्म हमलों और दुर्भावनापूर्ण निर्देशों को छिपाने तक, प्रत्येक चरण MCP पारिस्थितिकी तंत्र की शक्ति के साथ-साथ अंतर्निहित नाजुकता की याद दिलाता है।
आज, जैसे-जैसे बड़े मॉडल बाहरी प्लगइन्स और APIs के साथ तेजी से इंटरैक्ट करते हैं, प्रतीत होता है कि मामूली इनपुट प्रदूषण सिस्टम-व्यापी सुरक्षा जोखिमों को ट्रिगर कर सकता है। एन्कोडिंग तकनीकों, यादृच्छिक प्रदूषण और फ़ंक्शन ओवरराइट सहित हमलावर रणनीति की बढ़ती विविधता के लिए पारंपरिक सुरक्षा दृष्टिकोणों के व्यापक उन्नयन की आवश्यकता है।