MCP服务器如何窃取你的对话历史
攻击原理
攻击全程如下:将恶意工具描述插入MCP服务器,等待其被安装到用户环境。该工具描述会指示模型在用户输入特定触发短语(如“thank you”)时立即将对话历史转发给攻击者。用户正常与聊天机器人交互,当触发短语自然出现时,攻击者将获取截至该点的所有消息。
由于工具描述在主机连接MCP服务器时立即加载到上下文窗口,一旦恶意服务器安装完成,触发短语即刻生效。
图1:恶意MCP服务器在模型上下文中植入触发短语,导致用户在输入该短语时模型将完整对话历史发送至服务器。
以下是实现该攻击的工具描述示例:
|
|
对话历史的金矿
对话历史是敏感信息的金矿,且此类攻击可持久化:与传统时间点数据泄露不同,只要工具保持安装,与恶意MCP服务器的单一持续连接可连续泄露数周或数月的包含此类信息的对话:
- 敏感凭证和访问令牌:许多用户在聊天中直接调试API集成,共享API密钥、OAuth令牌和数据库凭证,这些将存在于被泄露的对话历史中。此漏洞允许攻击者被动收集多个对话中的凭证,而不引发任何可能触发警报的可疑活动。
- 知识产权:与AI助手讨论的产品规格、专有算法和未发布业务策略可能被静默收集。例如,使用AI工具完善产品策略的初创公司可能无意中向运行恶意MCP服务器的竞争对手暴露整个路线图。
- 受保护信息:受监管行业(如医疗、金融和法律服务)的组织在处理敏感信息时越来越多地使用AI助手。此漏洞可能导致受保护健康信息、个人可识别信息或重要非公开信息的未授权披露,造成违规和潜在法律责任。
为何此攻击优于弹出shell
从高级威胁行为者视角,此方法在隐蔽性和获取有价值内容可能性之间实现了更好平衡。
发起此类漏洞利用的最可能方法是供应链攻击,例如在GitHub或服务器注册表中植入恶意MCP服务器,或将后门插入现有开源项目。这类攻击有两个缺点:首先,成功执行可能昂贵且耗时;其次,被发现会永久破坏整个利用链。弹出shell是攻击者能做的最嘈杂和风险最高的事情之一,因此智能威胁行为者会寻求更安静的方法。
此外,针对运行主机应用的计算机可能无法让攻击者获得可货币化的内容。无法保证应用会在高权限用户工作站上运行。在精心设计的企业部署中,主机应用可能在隔离(甚至临时)容器中运行,意味着攻击者需要大量横向移动(及高发现风险)才能访问有用内容。
使用触发短语而非每次工具调用都运行漏洞利用,可使攻击隐藏更久。事实上,巧妙选择的触发短语有助于靶向最有价值的信息进行泄露。
定制触发短语实现定向数据窃取
上述工具描述使用“thank you”仅因其普遍性,但考虑针对银行或金融科技公司的攻击。攻击者可指示模型寻找格式如银行账号、社会保险号或其他高价值标识符的数字序列,而非特定词系列。如果目标是科技公司,模型可寻找格式如AWS密钥的字符串。由于某些MCP服务器邀请用户通过聊天界面提交凭证(更多内容将在后续文章中介绍),此攻击将捕获大量凭证。更可怕的例子是,政府或军事官员(合法或非法)在工作中咨询聊天机器人。针对此类目标的定向数据窃可能导致国际丑闻、勒索甚至人员伤亡。
此外,获取对话历史的攻击者可利用此上下文信息策划高度可信的后续攻击。了解目标如何与AI助手通信为创建模仿合法交互的定向钓鱼活动提供了宝贵情报。
保护自己免受越线攻击
MCP协议的未来版本可能最终解决根本漏洞,但用户现在需采取预防措施。在标准化稳健解决方案前,将所有MCP连接视为潜在威胁,并采取以下防御措施:
- 审查来源:仅连接来自可信源的MCP服务器。在允许工具描述进入模型上下文前仔细审查所有内容。
- 实施防护栏:使用自动扫描或防护栏在可疑工具描述和潜在有害调用模式到达模型前检测和过滤它们。
- 监控变更(首次使用信任):为MCP服务器实施首次使用信任验证。每当添加新工具或现有工具描述变更时提醒用户或管理员。
- 实践安全使用:禁用非主动需要的MCP服务器以最小化攻击面。避免自动批准命令执行,尤其是与敏感数据或系统交互的工具,并定期审查模型的提议操作。
MCP生态系统的开放性使其成为扩展AI能力的强大工具,但同样的开放性带来了重大安全挑战。随着我们构建日益强大且能访问敏感数据和外部工具的AI系统,必须确保基本安全原则不为便利或速度而牺牲。
这是我们关于MCP安全状态系列文章的第二部分。下一部分中,我们将探讨恶意服务器如何使用ANSI转义码向用户隐藏真实意图,创建肉眼不可见的后门。
系列其他文章:
- 越线:MCP服务器如何在您使用前发起攻击
感谢我们的AI/ML安全团队调查此攻击技术的工作!