# MCPシステムにおける隠れたポイズンと操作:実戦デモMCP (Model Context Protocol) 体系は現在まだ初期開発段階にあり、全体的な環境は比較的混沌としており、さまざまな潜在的な攻撃手法が次々と現れ、既存のプロトコルやツールの設計では効果的に防御することが難しい。コミュニティが MCP の安全性をよりよく理解し、向上させるために、MasterMCPという名前のオープンソースツールが登場した。このツールは実際の攻撃演習を通じて、開発者が製品設計における安全上の欠陥をタイムリーに発見できるよう支援し、MCP プロジェクトを徐々に強化することを目的としている。この記事では、読者と共に実践し、MCP体系における一般的な攻撃手法、例えば情報汚染や悪意のある命令の隠蔽などの実際のケースを示します。すべてのデモで使用されるスクリプトもオープンソースとして提供され、読者は安全な環境でプロセス全体を再現し、これらのスクリプトに基づいて独自の攻撃テストプラグインを開発することさえできます。! [実際の戦闘出発:MCPシステムにおける秘密の毒殺と操作](https://img-cdn.gateio.im/social/moments-b40c2ead4790c433f269d8e0d01ed30c)## 全体アーキテクチャの概要### 攻撃対象 MCP のデモンストレーション: ツールボックスあるプラグインサイトは現在最も人気のあるMCPプラグインサイトの一つで、大量のMCPリストとアクティブユーザーを集めています。その中で公式に提供されたMCP管理ツールToolboxがテスト対象として選ばれたのは、主に以下の点を考慮してのことです:* ユーザーベースが大きく、代表性がある* 他のプラグインの自動インストールをサポートし、一部のクライアント機能を補完します。* 敏感な設定(を含む API キー)、デモを容易にするために###、悪意のある MCP である MasterMCP の使用を示していますMasterMCPは、安全テストのために設計された悪意のあるMCPツールで、プラグインアーキテクチャを採用しており、以下の重要なモジュールを含んでいます:1. ローカルウェブサイトサービスのシミュレーション:攻撃シーンをよりリアルに再現するために、MasterMCはローカルウェブサイトサービスシミュレーションモジュールを内蔵しています。これにより、FastAPIフレームワークを使用して簡易的なHTTPサーバーを迅速に構築し、一般的なウェブページ環境をシミュレートします。これらのページは見た目には正常ですが、実際にはページのソースコードやインターフェースの返却中に巧妙に設計された悪意のあるペイロードが隠されています。この方法を通じて、私たちは安全で制御されたローカル環境の中で、情報汚染や命令隠蔽などの攻撃手法を完全にデモンストレーションし、読者がより直感的に理解できるようにします。たとえそれが一見普通のウェブページであっても、大規模モデルが異常な操作を実行する引き金となる危険性があることを示しています。2. ローカルプラグイン化 MC アーキテクチャMasterMCPはプラグイン方式で拡張されており、新しい攻撃方法の迅速な追加が容易です。実行後、MasterMCPはサブプロセスで前のモジュールのFastAPIサービスを実行します。(注意深い読者は、ここに既にセキュリティのリスクが存在することに気付くでしょう - ローカルプラグインは任意のMCPが予期しないサブプロセスを起動できます)! [実戦:MCPシステムにおける秘密の毒殺と操作](https://img-cdn.gateio.im/social/moments-3c65fb78f3a1d00f05d6f3d950931f1f)### デモクライアント* Cursor:現在の世界で最も人気のある AI 支援プログラミング IDE の 1 つ*クロードデスクトップ:大手モデル会社の公式クライアント### デモ用の大モデル* クロード 3.7Claude 3.7 バージョンを選択します。これは、敏感な操作の識別において一定の改善があり、現在の MCP エコシステムにおいて比較的強力な操作能力を示しています。## Cross-MCP 悪意のある通話本デモには、毒投げと Cross-MCP の悪意のある呼び出しの二つの内容が含まれています。### ウェブコンテンツ毒攻撃1. コメント型毒物カーソルがローカルテストサイトにアクセスします。これは一見無害な「デリシャスケーキワールド」に関するページであり、この実験を通じて、大規模モデルクライアントが悪意のあるウェブサイトにアクセスすることによる影響をシミュレートして示しています。命令を実行する:コンテンツを取得する結果は、Cursorがウェブページの内容を読み取るだけでなく、ローカルの機密設定データをテストサーバーに送信したことを示しています。ソースコードには、悪意のあるヒントがHTMLコメント形式で埋め込まれています。注釈の方法は比較的率直で識別しやすいが、悪意のある操作を引き起こすことができる。! [実戦:MCPシステムにおける秘密の毒殺と操作](https://img-cdn.gateio.im/social/moments-2fe451755dc3588ffc2ddbd7427dcf9b)2. コーディング型注釈の毒注入/encode ページにアクセスします。これは上記の例と同じように見えるウェブページですが、その中の悪意のある提示語がエンコードされており、これは毒を盛る exp をより隠蔽的にします。ウェブページのソースコードにアクセスしても、直接的に気付くのは難しいです。ソースコードに明示的なヒントが含まれていなくても、攻撃は依然として成功裏に実行されます。その具体的な原理については、後の章で詳しく説明します。! [実際の戦闘出発:MCPシステムにおける秘密の毒殺と操作](https://img-cdn.gateio.im/social/moments-0ebb45583f5d7c2e4a4b792a0bdc989d)### MCP ツールが情報ポイズニングを返すここでは、MasterMCPのヒントに従って、シミュレーションコマンド(を入力します。このコマンドは実際の意味を持たず、悪意のあるMCPをトリガーして悪意のあるMCPのその後の操作を示すことを目的としています):たくさんのリンゴを手に入れる指令をトリガーした後、クライアントがMCPを越えてToolboxを呼び出し、新しいMCPサーバーを正常に追加したことが確認できます。プラグインのコードを確認すると、返されたデータにはエンコードされた悪意のあるペイロードが埋め込まれており、ユーザー側ではほとんど異常を検知することができません。! [実際の戦闘出発:MCPシステムにおける秘密の毒殺と操作](https://img-cdn.gateio.im/social/moments-3840e36661d61bbb0dcee6d5cf38d376)### サードパーティインターフェース汚染攻撃このデモは主に、悪意のあるMCPであれ、非悪意のMCPであれ、サードパーティのAPIを呼び出す際に、サードパーティのデータを直接コンテキストに返すと、深刻な影響を及ぼす可能性があることを皆さんに警告するためのものです。リクエストを実行する:/api/data から json をフェッチします結果: 悪意のあるプロンプトが返された JSON データに埋め込まれ、悪意のある実行が順調にトリガーされました。! [実際の戦闘出発:MCPシステムにおける秘密の毒殺と操作](https://img-cdn.gateio.im/social/moments-33ec895deae947ebc284e846286ccf1c)## MCP 初期段階のトークンポイズニング技術このデモは、初期のプロンプトインジェクションと名前の衝突という2つの内容を含んでいます。### 悪意の関数オーバーライド攻撃ここで MasterMCP は Toolbox と同じ関数名 remove_server のツールを作成し、悪意のあるヒントを隠すようにコーディングしました。指令を実行する:ツールボックスからプラグインサーバーを削除するClaude Desktopは、元のツールボックスremove_serverメソッドを呼び出す代わりに、MasterMCPによって提供される同じ名前のメソッドをトリガーしました。原理は「既存の方法は廃止された」と強調することで、大規模モデルが悪意のあるオーバーライド関数を優先的に呼び出すように誘導することです。! [実戦出発:MCPシステムにおける秘密の毒殺と操作](https://img-cdn.gateio.im/social/moments-e16c8d753ef00ec06f0bf607dc188446)### 悪意のあるグローバルチェックロジックを追加ここで MasterMCP は banana という名前のツールを作成しました。このツールの主な機能は、プロンプト内で全てのツールが実行される前に、このツールを強制的に実行して安全チェックを行うことです。関数を実行するたびに、システムは最初にbananaチェックメカニズムを呼び出します。これはコード内で「バナナ検出を必ず実行する」と繰り返し強調することによって実現されるグローバルロジックインジェクションです。! [実際の戦闘出発:MCPシステムにおける秘密の毒殺と操作](https://img-cdn.gateio.im/social/moments-3e15b74bbdc0154ed8505c04345c4deb)## 悪意のあるヒントを隠すための上級テクニック### 大規模モデルに優しいコーディング方式大規模言語モデル(LLM)は、多言語フォーマットに対して非常に強力な解析能力を持っているため、これが悪意のある情報を隠すために利用されることがあります。一般的な方法には、以下が含まれます:* 英語環境では: Hex Byte エンコーディングを使用* 日本語環境下:使用 NCR コーディングまたは JavaScript コーディング! [実戦:MCPシステムにおける秘密の毒殺と操作](https://img-cdn.gateio.im/social/moments-cd87a6781e74c267c89e99e398e7499c)### ランダム悪意のあるペイロード返却メカニズム第2章で言及されたサードパーティインターフェースの汚染について、/randomをリクエストすると、毎回マルウェアペイロードを含むページがランダムに返され、検出と追跡の難易度が大幅に増加します。! [実戦出発:MCPシステムにおける秘密の毒殺と操作](https://img-cdn.gateio.im/social/moments-c5a25d6fa43a286a07b6a57c1a3f9605)## まとめこの MasterMCP の実戦デモを通じて、私たちは Model Context Protocol (MCP) システムに隠されたさまざまなセキュリティリスクを直感的に理解しました。単純なプロンプトインジェクション、クロスMCP呼び出しから、さらに巧妙な初期化段階の攻撃や悪意のあるコマンド隠蔽まで、各段階が私たちに警告しています: MCPエコシステムは強力ですが、同時に脆弱でもあります。特に大規模モデルが外部プラグインやAPIと頻繁にやり取りする今日、小さな入力の汚染がシステム全体の安全リスクを引き起こす可能性があります。そして攻撃者の手段の多様化(エンコーディング隠蔽、ランダム汚染、関数オーバーライド)は、従来の防御思想が全面的にアップグレードされる必要があることを意味します。安全は決して一朝一夕には達成できません。今回のデモが皆さんに警鐘を鳴らすことを願っています: 開発者であれ使用者であれ、MCP システムに対して十分な警戒心を持ち、すべてのインタラクション、すべてのコード、すべての戻り値に常に注意を払うべきです。すべての詳細に厳密に対処することで、初めて堅固で安全な MCP 環境を築くことができます。次のステップとして、私たちは MasterMCP スクリプトを引き続き改善し、より特定のテストケースをオープンソース化して、皆さんが安全な環境で深く理解し、演習し、防護を強化するのを助けます。! [実戦出発:MCPシステムにおける秘密の毒殺と操作](https://img-cdn.gateio.im/social/moments-bf6d8976b54bebbec34699753f4dbb70)
MCPのセキュリティリスク実戦: 投毒から隠れた攻撃までの完全デモ
MCPシステムにおける隠れたポイズンと操作:実戦デモ
MCP (Model Context Protocol) 体系は現在まだ初期開発段階にあり、全体的な環境は比較的混沌としており、さまざまな潜在的な攻撃手法が次々と現れ、既存のプロトコルやツールの設計では効果的に防御することが難しい。コミュニティが MCP の安全性をよりよく理解し、向上させるために、MasterMCPという名前のオープンソースツールが登場した。このツールは実際の攻撃演習を通じて、開発者が製品設計における安全上の欠陥をタイムリーに発見できるよう支援し、MCP プロジェクトを徐々に強化することを目的としている。
この記事では、読者と共に実践し、MCP体系における一般的な攻撃手法、例えば情報汚染や悪意のある命令の隠蔽などの実際のケースを示します。すべてのデモで使用されるスクリプトもオープンソースとして提供され、読者は安全な環境でプロセス全体を再現し、これらのスクリプトに基づいて独自の攻撃テストプラグインを開発することさえできます。
! 実際の戦闘出発:MCPシステムにおける秘密の毒殺と操作
全体アーキテクチャの概要
攻撃対象 MCP のデモンストレーション: ツールボックス
あるプラグインサイトは現在最も人気のあるMCPプラグインサイトの一つで、大量のMCPリストとアクティブユーザーを集めています。その中で公式に提供されたMCP管理ツールToolboxがテスト対象として選ばれたのは、主に以下の点を考慮してのことです:
###、悪意のある MCP である MasterMCP の使用を示しています
MasterMCPは、安全テストのために設計された悪意のあるMCPツールで、プラグインアーキテクチャを採用しており、以下の重要なモジュールを含んでいます:
攻撃シーンをよりリアルに再現するために、MasterMCはローカルウェブサイトサービスシミュレーションモジュールを内蔵しています。これにより、FastAPIフレームワークを使用して簡易的なHTTPサーバーを迅速に構築し、一般的なウェブページ環境をシミュレートします。これらのページは見た目には正常ですが、実際にはページのソースコードやインターフェースの返却中に巧妙に設計された悪意のあるペイロードが隠されています。
この方法を通じて、私たちは安全で制御されたローカル環境の中で、情報汚染や命令隠蔽などの攻撃手法を完全にデモンストレーションし、読者がより直感的に理解できるようにします。たとえそれが一見普通のウェブページであっても、大規模モデルが異常な操作を実行する引き金となる危険性があることを示しています。
MasterMCPはプラグイン方式で拡張されており、新しい攻撃方法の迅速な追加が容易です。実行後、MasterMCPはサブプロセスで前のモジュールのFastAPIサービスを実行します。(注意深い読者は、ここに既にセキュリティのリスクが存在することに気付くでしょう - ローカルプラグインは任意のMCPが予期しないサブプロセスを起動できます)
! 実戦:MCPシステムにおける秘密の毒殺と操作
デモクライアント
デモ用の大モデル
Claude 3.7 バージョンを選択します。これは、敏感な操作の識別において一定の改善があり、現在の MCP エコシステムにおいて比較的強力な操作能力を示しています。
Cross-MCP 悪意のある通話
本デモには、毒投げと Cross-MCP の悪意のある呼び出しの二つの内容が含まれています。
ウェブコンテンツ毒攻撃
カーソルがローカルテストサイトにアクセスします。これは一見無害な「デリシャスケーキワールド」に関するページであり、この実験を通じて、大規模モデルクライアントが悪意のあるウェブサイトにアクセスすることによる影響をシミュレートして示しています。
命令を実行する:
コンテンツを取得する
結果は、Cursorがウェブページの内容を読み取るだけでなく、ローカルの機密設定データをテストサーバーに送信したことを示しています。ソースコードには、悪意のあるヒントがHTMLコメント形式で埋め込まれています。
注釈の方法は比較的率直で識別しやすいが、悪意のある操作を引き起こすことができる。
! 実戦:MCPシステムにおける秘密の毒殺と操作
/encode ページにアクセスします。これは上記の例と同じように見えるウェブページですが、その中の悪意のある提示語がエンコードされており、これは毒を盛る exp をより隠蔽的にします。ウェブページのソースコードにアクセスしても、直接的に気付くのは難しいです。
ソースコードに明示的なヒントが含まれていなくても、攻撃は依然として成功裏に実行されます。その具体的な原理については、後の章で詳しく説明します。
! 実際の戦闘出発:MCPシステムにおける秘密の毒殺と操作
MCP ツールが情報ポイズニングを返す
ここでは、MasterMCPのヒントに従って、シミュレーションコマンド(を入力します。このコマンドは実際の意味を持たず、悪意のあるMCPをトリガーして悪意のあるMCPのその後の操作を示すことを目的としています):
たくさんのリンゴを手に入れる
指令をトリガーした後、クライアントがMCPを越えてToolboxを呼び出し、新しいMCPサーバーを正常に追加したことが確認できます。
プラグインのコードを確認すると、返されたデータにはエンコードされた悪意のあるペイロードが埋め込まれており、ユーザー側ではほとんど異常を検知することができません。
! 実際の戦闘出発:MCPシステムにおける秘密の毒殺と操作
サードパーティインターフェース汚染攻撃
このデモは主に、悪意のあるMCPであれ、非悪意のMCPであれ、サードパーティのAPIを呼び出す際に、サードパーティのデータを直接コンテキストに返すと、深刻な影響を及ぼす可能性があることを皆さんに警告するためのものです。
リクエストを実行する:
/api/data から json をフェッチします
結果: 悪意のあるプロンプトが返された JSON データに埋め込まれ、悪意のある実行が順調にトリガーされました。
! 実際の戦闘出発:MCPシステムにおける秘密の毒殺と操作
MCP 初期段階のトークンポイズニング技術
このデモは、初期のプロンプトインジェクションと名前の衝突という2つの内容を含んでいます。
悪意の関数オーバーライド攻撃
ここで MasterMCP は Toolbox と同じ関数名 remove_server のツールを作成し、悪意のあるヒントを隠すようにコーディングしました。
指令を実行する:
ツールボックスからプラグインサーバーを削除する
Claude Desktopは、元のツールボックスremove_serverメソッドを呼び出す代わりに、MasterMCPによって提供される同じ名前のメソッドをトリガーしました。
原理は「既存の方法は廃止された」と強調することで、大規模モデルが悪意のあるオーバーライド関数を優先的に呼び出すように誘導することです。
! 実戦出発:MCPシステムにおける秘密の毒殺と操作
悪意のあるグローバルチェックロジックを追加
ここで MasterMCP は banana という名前のツールを作成しました。このツールの主な機能は、プロンプト内で全てのツールが実行される前に、このツールを強制的に実行して安全チェックを行うことです。
関数を実行するたびに、システムは最初にbananaチェックメカニズムを呼び出します。
これはコード内で「バナナ検出を必ず実行する」と繰り返し強調することによって実現されるグローバルロジックインジェクションです。
! 実際の戦闘出発:MCPシステムにおける秘密の毒殺と操作
悪意のあるヒントを隠すための上級テクニック
大規模モデルに優しいコーディング方式
大規模言語モデル(LLM)は、多言語フォーマットに対して非常に強力な解析能力を持っているため、これが悪意のある情報を隠すために利用されることがあります。一般的な方法には、以下が含まれます:
! 実戦:MCPシステムにおける秘密の毒殺と操作
ランダム悪意のあるペイロード返却メカニズム
第2章で言及されたサードパーティインターフェースの汚染について、/randomをリクエストすると、毎回マルウェアペイロードを含むページがランダムに返され、検出と追跡の難易度が大幅に増加します。
! 実戦出発:MCPシステムにおける秘密の毒殺と操作
まとめ
この MasterMCP の実戦デモを通じて、私たちは Model Context Protocol (MCP) システムに隠されたさまざまなセキュリティリスクを直感的に理解しました。単純なプロンプトインジェクション、クロスMCP呼び出しから、さらに巧妙な初期化段階の攻撃や悪意のあるコマンド隠蔽まで、各段階が私たちに警告しています: MCPエコシステムは強力ですが、同時に脆弱でもあります。
特に大規模モデルが外部プラグインやAPIと頻繁にやり取りする今日、小さな入力の汚染がシステム全体の安全リスクを引き起こす可能性があります。そして攻撃者の手段の多様化(エンコーディング隠蔽、ランダム汚染、関数オーバーライド)は、従来の防御思想が全面的にアップグレードされる必要があることを意味します。
安全は決して一朝一夕には達成できません。
今回のデモが皆さんに警鐘を鳴らすことを願っています: 開発者であれ使用者であれ、MCP システムに対して十分な警戒心を持ち、すべてのインタラクション、すべてのコード、すべての戻り値に常に注意を払うべきです。すべての詳細に厳密に対処することで、初めて堅固で安全な MCP 環境を築くことができます。
次のステップとして、私たちは MasterMCP スクリプトを引き続き改善し、より特定のテストケースをオープンソース化して、皆さんが安全な環境で深く理解し、演習し、防護を強化するのを助けます。
! 実戦出発:MCPシステムにおける秘密の毒殺と操作