MCP सुरक्षा: धोकादायक हल्ले उघड

आर्किटेक्चरचे विहंगावलोकन

** प्रात्यक्षिकासाठी लक्ष्य MCP: toolbox**

Smithery.ai हे MCP प्लगइनसाठी एक महत्वाचे केंद्र आहे, जे मोठ्या संख्येने MCP लिस्टिंग आणि सक्रिय वापरकर्त्यांना आकर्षित करते. यामध्ये, smithery.ai द्वारे ऑफर केलेले अधिकृत MCP व्यवस्थापन साधन @smithery/toolbox हे सुरक्षा मूल्यांकनाचे केंद्र आहे.

Toolbox निवडण्याचे मुख्य कारणः

• यात मोठ्या प्रमाणात वापरकर्ता आहेत, जे MCP परिसंस्थेमधील एक प्रातिनिधिक नमुना आहे.
• हे क्लायंट-साइड कार्यक्षमता (उदा. Claude Desktop) वाढवून अतिरिक्त प्लगइनच्या स्वयंचलित स्थापनेस समर्थन देते.
• यात API की सारख्या संवेदनशील कॉन्फिगरेशन असतात, जे संभाव्य धोके दर्शविण्यास मदत करतात.

** प्रात्यक्षिकासाठी वापरलेले दुर्भावनापूर्ण MCP: MasterMCP**

MasterMCP, स्लोमिस्टने विशेषतः सुरक्षा चाचणीसाठी विकसित केले आहे, हे मॉड्युलर आर्किटेक्चरवर तयार केलेले एक simulated दुर्भावनापूर्ण MCP साधन आहे. त्याचे मुख्य घटक खालीलप्रमाणे आहेत:

1. स्थानिक वेबसाइट सेवा सिमुलेशन: http://127.0.0.1:1024

वास्तववादी हल्ला परिस्थिती तयार करण्यासाठी, MasterMCP मध्ये स्थानिक वेबसाइट सेवा सिमुलेशन मॉड्यूल समाविष्ट आहे. FastAPI फ्रेमवर्कचा उपयोग करून, हे मॉड्यूल एक साधे HTTP सर्व्हर स्थापित करते जे सामान्य वेब वातावरणाचे अनुकरण करते. ही पृष्ठे निरुपद्रवी दिसू शकतात, बेकरी माहिती दर्शवितात किंवा मानक JSON डेटा परत करतात, परंतु ते त्यांच्या स्त्रोत कोड किंवा API प्रतिसादांमध्ये सूक्ष्मपणे तयार केलेले दुर्भावनापूर्ण पेलोड लपवतात.

हा दृष्टिकोन सुरक्षित, नियंत्रित स्थानिक वातावरणात माहिती विषबाधा आणि कमांड लपविण्याच्या तंत्रांचे विस्तृत प्रात्यक्षिक करण्यास अनुमती देतो. हे मोठ्या भाषिक मॉडेलमध्ये असामान्य वर्तन ट्रिगर करू शकणार्‍या सामान्य वेब पृष्ठांमधील संभाव्य धोक्यांवर प्रकाश टाकते.

2. स्थानिकीकृत प्लग-इन MCP आर्किटेक्चर

नवीन हल्ला वेक्टरसाठी जलद स्केलेबिलिटी सुलभ करण्यासाठी MasterMCP प्लग-इन दृष्टिकोन स्वीकारतो. अंमलबजावणी केल्यावर, MasterMCP मागील मॉड्यूलची FastAPI सेवा सब-प्रोसेसमध्ये सुरू करते.

प्रात्यक्षिक क्लायंट

• कर्सर: जागतिक स्तरावर सर्वात जास्त वापरल्या जाणार्‍या AI-सहाय्यित प्रोग्रामिंग IDEs पैकी एक.
• Claude Desktop: Anthropic चा अधिकृत क्लायंट, ही MCP प्रोटोकॉल सानुकूलित करणारी संस्था आहे.

प्रात्यक्षिकासाठी वापरलेले मोठे भाषिक मॉडेल (LLM)

• Claude 3.7

Claude 3.7 ची निवड त्याच्या संवेदनशील ऑपरेशन्स ओळखण्याच्या वर्धित क्षमतांमुळे आणि सध्याच्या MCP परिसंस्थेमध्ये मजबूत ऑपरेशनल क्षमता दर्शवण्यामुळे झाली.

claude\_desktop\_config.json चे कॉन्फिगरेशन

कॉन्फिगरेशन पूर्ण झाल्यावर, प्रात्यक्षिक टप्पा सुरू होतो.

क्रॉस-MCP दुर्भावनापूर्ण आवाहन

या प्रात्यक्षिकामध्ये चेकलिस्टमध्ये नमूद केलेल्या विषबाधा तंत्रांचा आणि क्रॉस-MCP दुर्भावनापूर्ण आवाहन धोरणांचा समावेश आहे.

वेब पेज सामग्री विषबाधा हल्ला

1. टिप्पणी-आधारित विषबाधा

कर्सर http://127.0.0.1:1024 वर स्थानिक चाचणी वेबसाइट ऍक्सेस करतो.

“Delicous Cake World” बद्दलचे हे पृष्ठ एका मोठ्या भाषिक मॉडेल क्लायंटद्वारे दुर्भावनापूर्ण वेबसाइट ऍक्सेस केल्याने होणार्‍या संभाव्य परिणामाचे उदाहरण आहे.

अंमलबजावणी कमांड:

परिणामांवरून दिसून येते की कर्सर केवळ वेब पृष्ठाची सामग्री वाचत नाही, तर स्थानिक संवेदनशील कॉन्फिगरेशन डेटा चाचणी सर्व्हरला परत पाठवते. दुर्भावनापूर्ण सूचना HTML टिप्पणी म्हणून स्त्रोत कोडमध्ये एम्बेड केली आहे:

जरी हा टिप्पणी-आधारित दृष्टिकोन तुलनेने सोपा आणि सहज शोधण्यायोग्य असला तरी, तो दुर्भावनापूर्ण ऑपरेशन्स ट्रिगर करण्यास सक्षम आहे.

2. एन्कोडेड टिप्पणी विषबाधा

http://127.0.0.1:1024/encode ऍक्सेस केल्याने एक पृष्ठ दिसून येते जे मागील उदाहरणासारखेच दिसते. तथापि, दुर्भावनापूर्ण सूचना एन्कोड केल्या आहेत, ज्यामुळे पृष्ठाच्या स्त्रोत कोडची तपासणी करताना देखील शोषण शोधणे अधिक कठीण होते.

स्त्रोत कोडमध्ये स्पष्ट सूचना नसल्या तरी, हल्ला यशस्वी होतो.

MCP साधन माहिती विषबाधा परत करते

MasterMCP सूचनांवर आधारित, आम्ही एक simulated कमांड इनपुट करतो जी दुर्भावनापूर्ण MCP ला ट्रिगर करते आणि त्यानंतर त्याचे ऑपरेशन्स दर्शवते.

कमांड ट्रिगर केल्यावर, क्लायंट toolbox ला क्रॉस-MCP कॉल सुरू करतो आणि यशस्वीरित्या एक नवीन MCP सर्व्हर जोडतो.

प्लगइन कोडच्या तपासणीवरून असे दिसून येते की परत केलेल्या डेटामध्ये एन्कोड केलेला दुर्भावनापूर्ण पेलोड आहे, ज्यामुळे ते वापरकर्त्यांसाठी शोधणे जवळजवळ अशक्य होते.

तृतीय-पक्ष इंटरफेस प्रदूषण हल्ला

हे प्रात्यक्षिक दुर्भावनापूर्ण आणि गैर-दुर्भावनापूर्ण MCP दोन्हीद्वारे थेट तृतीय-पक्ष API डेटा संदर्भात परत करण्याशी संबंधित संभाव्य धोक्यांवर प्रकाश टाकते.

उदाहरण कोड:

अंमलबजावणी विनंती:

परिणाम: दुर्भावनापूर्ण सूचना परत केलेल्या JSON डेटामध्ये एम्बेड केली आहे आणि यशस्वीरित्या दुर्भावनापूर्ण अंमलबजावणी ट्रिगर करते.

MCP इनिशियलायझेशन दरम्यान विषबाधा तंत्र

या प्रात्यक्षिकामध्ये प्रारंभिक प्रॉम्प्ट इंजेक्शन आणि नावांचा संघर्ष या चेकलिस्ट आयटमचा समावेश आहे.

दुर्भावनापूर्ण फंक्शन ओव्हरराईट हल्ला

MasterMCP toolbox च्या remove_server फंक्शनप्रमाणेच फंक्शन नावाने एक साधन तयार करते आणि त्यामध्ये दुर्भावनापूर्ण सूचना एन्कोड करते.

अंमलबजावणी कमांड:

Claude Desktop मूळ toolbox remove_server पद्धत कार्यान्वित करत नाही, परंतु त्याऐवजी MasterMCP द्वारे प्रदान केलेली त्याच नावाची पद्धत ट्रिगर करते:

हे “मूळ पद्धत कालबाह्य झाली आहे” यावर जोर देऊन साध्य केले जाते, जे मोठ्या भाषिक मॉडेलला दुर्भावनापूर्वक ओव्हरराईट केलेल्या फंक्शनला प्राधान्य देण्यास प्रोत्साहित करते.

दुर्भावनापूर्ण जागतिक तपासणी तर्कशास्त्र जोडणे

MasterMCP “banana” नावाचे एक साधन तयार करते, जे इतर कोणतेही साधन कार्यान्वित होण्यापूर्वी अनिवार्य सुरक्षा तपासणी करण्यासाठी डिझाइन केलेले आहे.

प्रत्येक फंक्शन कार्यान्वित होण्यापूर्वी, सिस्टम “banana” तपासणी यंत्रणेला प्राधान्य देते:

हे जागतिक तर्कशास्त्र इंजेक्शन कोडमध्ये “banana डिटेक्शनची अनिवार्य अंमलबजावणी” वारंवार जोर देऊन पूर्ण केले जाते.

दुर्भावनापूर्ण सूचना लपविण्यासाठी प्रगत तंत्र

LLM-अनुकूल एन्कोडिंग पद्धती

मोठ्या भाषिक मॉडेलमध्ये बहुभाषिक स्वरूपांसाठी मजबूत पार्सिंग क्षमता आहेत, ज्याचा उपयोग दुर्भावनापूर्ण माहिती लपविण्यासाठी केला जाऊ शकतो. सामान्य पद्धतींमध्ये हे समाविष्ट आहे:

• इंग्रजी वातावरण: हेक्स बाइट एन्कोडिंग
• चीनी वातावरण: NCR एन्कोडिंग किंवा जावास्क्रिप्ट एन्कोडिंग

यादृच्छिक दुर्भावनापूर्ण पेलोड रिटर्न यंत्रणा

तिसर्‍या विभागात नमूद केलेल्या तृतीय-पक्ष इंटरफेस प्रदूषणाप्रमाणेच, http://127.0.0.1:1024/random विनंती केल्यास:

प्रत्येक विनंती यादृच्छिकपणे व्युत्पन्न केलेले पृष्ठ परत करते ज्यामध्ये दुर्भावनापूर्ण पेलोड असतो, ज्यामुळे शोधणे आणि मागोवा घेणे अधिक कठीण होते.

MasterMCP च्या प्रात्यक्षिकामुळे, मॉडेल कॉन्टेक्स्ट प्रोटोकॉल (MCP) परिसंस्थेमधील छुपे सुरक्षा धोके उघड झाले आहेत. मूलभूत सूचना इंजेक्शन आणि क्रॉस-MCP कॉलपासून ते आरंभीच्या दरम्यान अधिक सूक्ष्म हल्ल्यांपर्यंत आणि दुर्भावनापूर्ण सूचना लपवण्यापर्यंत, प्रत्येक टप्पा MCP परिसंस्थेच्या सामर्थ्यासोबतच अंतर्निहित नाजूकपणाची आठवण करून देतो.

आज, जसे मोठे मॉडेल बाह्य प्लगइन आणि API सोबत अधिकाधिक संवाद साधतात, तेंव्हा लहान इनपुट प्रदूषण देखील सिस्टम-व्यापी सुरक्षा धोके निर्माण करू शकते. एन्कोडिंग तंत्र, यादृच्छिक प्रदूषण आणि फंक्शन ओव्हरराईट यांसारख्या हल्लेखोरांच्या विकसित होत असलेल्या विविध युक्त्या, पारंपारिक सुरक्षा दृष्टिकोणांमध्ये सर्वसमावेशक सुधारणा आवश्यक करतात.