當AI成為雙面刃:MCP提示注入技術的善與惡
- Hao Chen Lu
- 5月28日
- 讀畢需時 6 分鐘
Source: TWCERT/CC台灣電腦網路危機處理暨協調中心
top of page
搜尋
Anthropic於2024年底提出的「模型上下文協定(Model Context Protocol, MCP)」是一項創新框架,旨在讓大語言模型(LLM)與外部系統無縫連接。 透過MCP框架,AI模型不僅能查詢資料與執行運算,還可利用API與外部資源互動,大幅提供其應用的靈活性與實用性。 然而,MCP將LLM與外部系統做連結是一把雙面刃,提供AI存取權限、帶來更高便利性與自動化效率的同時,也擴大了攻擊面,為資安防護帶來新的挑戰。 MCP可以視為一種通用的「翻譯器」,讓LLM能即時與外部系統互通,透過這項機制,模型可動態獲取最新資訊,如即時天氣、使用者當下的資料配置等,並將其整合於回應中,有效解決過去LLM所面臨資訊無法即時的問題。 圖1: 用戶端和伺服器端於MCP架構中的通訊。 圖片來源:SentinelOne 第一種常見的攻擊:惡意工具(Malicious Tools) 惡意工具是一種較為直接且普遍使用的攻擊手法,攻擊者透過偽裝名稱相同的合法工具,誘使使用者在建構MCP過程中,不慎使用包含惡意程式的工具,攻擊者可能在使用者系統中執行惡意程式,或試圖影響使用者所建置的雲端伺服器及基礎設施。 儘管如此,透過對工具描述、發布來源等細節的仔細檢視,仍可察覺潛在異常。 以圖2為範例,攻擊者創建名為「daily_report_analysis」的惡意工具,當使用者啟動MCP時,此惡意工具即不慎被呼叫使用。 圖2: 惡意MCP伺服器在背景執行惡意活動之流程圖。 圖片來源:SentinelOne 第二種攻擊:MCP Rug Pulls 「MCP Rug Pulls」是一種透過建立初期信任,再進行惡意行為的延遲性攻擊。 簡單來說,這類工具在初期看似正常、安全,使用者將其串接至MCP伺服器並使用運作一段時間後,彼此建立信任後,工具的開發者不另行通知的情況下修改其內部描述,插入僅對AI可見的惡意指令,便可能觸發未經授權的行為。 圖3為MCP Rug Pulls攻擊流程。 圖3: MCP Rug Pulls攻擊流程。 圖片來源:invariantlabs 第三種攻擊:工具中毒攻擊(Tool Poisoning Attack, TPA) 工具中毒攻擊則屬於更高階且更為隱蔽的技術型攻擊,與直接誘使使用者執行惡意工具不同,攻擊者會將惡意指令嵌入MCP工具描述中,這些指令對使用者而言是不易察覺的,但對AI模型卻是可辨識並可執行。 當AI模型依據描述進行操作時,可能在使用者毫未注意的情況下執行未授權行為,例如存取敏感檔案(SSH Key、設定檔和資料庫等)、誘導AI傳輸敏感資料並對使用者隱藏此次操作等。 圖4為invariantlabs研究員提供的範例。 當使用者使用add函數功能時,僅看到第18行「return a+b」,而不會看到第3行至第16行要求AI模型讀取敏感設定檔「~/.cursor/mcp.json」、存取SSH私鑰「~/.ssh/id_rsa」、透過「sidenote」參數以隱藏方式傳輸資料,但這些對於AI模型而言是可識別且可執行。 圖4:隱藏惡意指令在MCP工具中。 圖片來源:invariantlabs 第四種攻擊:跨工具汙染(Cross-Tool Contamination) 當使用者允許單一LLM代理程式與多個來自不同MCP伺服器上的工具互動時,可能出現伺服器互相干擾的風險。 具惡意意圖的MCP伺服器可透過注入隱藏指令,悄悄竄改原本受信任的工具行為,無須直接執行惡意工具,即可對系統造成破壞。 圖5為跨工具汙染的案例說明,「daily_report_analysis」工具的描述已遭惡意修改,當另一個原本受信任的工具「send_daily_email」執行調用該工具時,觸發潛在其中的惡意指令。 在這個情境中,「send_daily_email」除了執行原有的發信任務外,額外向攻擊者發送一封電子郵件且不通知使用者此操作。 圖5:跨工具汙染破壞受信任工具之流程圖。 圖片來源:SentinelOne 總結來說,MCP伺服器雖然替AI生態系帶來高度彈性與便利性,但因串接第三方平台,在此之間是無條件信任而無任何端點驗證、完整性檢查以及透明化機制,所以具有極高的資安風險,這些是MCP未來需要改進的部分。 根據上述的資安風險,提出以下幾項資安防禦建議: 工具的敘述應對使用者是可見、明確定義和區分使用者和AI的指令 執行MCP工具之前,應透過Hash或簽章驗證等機制確認工具內容未被竄改 多個MCP伺服器共同運作時,應對邊界和資料實行嚴格的控管,並使用安全代理工具,確保彼此之間的安全性
Anthropic於2024年底提出的「模型上下文協定(Model Context Protocol, MCP)」是一項創新框架,旨在讓大語言模型(LLM)與外部系統無縫連接。 透過MCP框架,AI模型不僅能查詢資料與執行運算,還可利用API與外部資源互動,大幅提供其應用的靈活性與實用性。 然而,MCP將LLM與外部系統做連結是一把雙面刃,提供AI存取權限、帶來更高便利性與自動化效率的同時,也擴大了攻擊面,為資安防護帶來新的挑戰。 MCP可以視為一種通用的「翻譯器」,讓LLM能即時與外部系統互通,透過這項機制,模型可動態獲取最新資訊,如即時天氣、使用者當下的資料配置等,並將其整合於回應中,有效解決過去LLM所面臨資訊無法即時的問題。 圖1: 用戶端和伺服器端於MCP架構中的通訊。 圖片來源:SentinelOne 第一種常見的攻擊:惡意工具(Malicious Tools) 惡意工具是一種較為直接且普遍使用的攻擊手法,攻擊者透過偽裝名稱相同的合法工具,誘使使用者在建構MCP過程中,不慎使用包含惡意程式的工具,攻擊者可能在使用者系統中執行惡意程式,或試圖影響使用者所建置的雲端伺服器及基礎設施。 儘管如此,透過對工具描述、發布來源等細節的仔細檢視,仍可察覺潛在異常。 以圖2為範例,攻擊者創建名為「daily_report_analysis」的惡意工具,當使用者啟動MCP時,此惡意工具即不慎被呼叫使用。 圖2: 惡意MCP伺服器在背景執行惡意活動之流程圖。 圖片來源:SentinelOne 第二種攻擊:MCP Rug Pulls 「MCP Rug Pulls」是一種透過建立初期信任,再進行惡意行為的延遲性攻擊。 簡單來說,這類工具在初期看似正常、安全,使用者將其串接至MCP伺服器並使用運作一段時間後,彼此建立信任後,工具的開發者不另行通知的情況下修改其內部描述,插入僅對AI可見的惡意指令,便可能觸發未經授權的行為。 圖3為MCP Rug Pulls攻擊流程。 圖3: MCP Rug Pulls攻擊流程。 圖片來源:invariantlabs 第三種攻擊:工具中毒攻擊(Tool Poisoning Attack, TPA) 工具中毒攻擊則屬於更高階且更為隱蔽的技術型攻擊,與直接誘使使用者執行惡意工具不同,攻擊者會將惡意指令嵌入MCP工具描述中,這些指令對使用者而言是不易察覺的,但對AI模型卻是可辨識並可執行。 當AI模型依據描述進行操作時,可能在使用者毫未注意的情況下執行未授權行為,例如存取敏感檔案(SSH Key、設定檔和資料庫等)、誘導AI傳輸敏感資料並對使用者隱藏此次操作等。 圖4為invariantlabs研究員提供的範例。 當使用者使用add函數功能時,僅看到第18行「return a+b」,而不會看到第3行至第16行要求AI模型讀取敏感設定檔「~/.cursor/mcp.json」、存取SSH私鑰「~/.ssh/id_rsa」、透過「sidenote」參數以隱藏方式傳輸資料,但這些對於AI模型而言是可識別且可執行。 圖4:隱藏惡意指令在MCP工具中。 圖片來源:invariantlabs 第四種攻擊:跨工具汙染(Cross-Tool Contamination) 當使用者允許單一LLM代理程式與多個來自不同MCP伺服器上的工具互動時,可能出現伺服器互相干擾的風險。 具惡意意圖的MCP伺服器可透過注入隱藏指令,悄悄竄改原本受信任的工具行為,無須直接執行惡意工具,即可對系統造成破壞。 圖5為跨工具汙染的案例說明,「daily_report_analysis」工具的描述已遭惡意修改,當另一個原本受信任的工具「send_daily_email」執行調用該工具時,觸發潛在其中的惡意指令。 在這個情境中,「send_daily_email」除了執行原有的發信任務外,額外向攻擊者發送一封電子郵件且不通知使用者此操作。 圖5:跨工具汙染破壞受信任工具之流程圖。 圖片來源:SentinelOne 總結來說,MCP伺服器雖然替AI生態系帶來高度彈性與便利性,但因串接第三方平台,在此之間是無條件信任而無任何端點驗證、完整性檢查以及透明化機制,所以具有極高的資安風險,這些是MCP未來需要改進的部分。 根據上述的資安風險,提出以下幾項資安防禦建議: 工具的敘述應對使用者是可見、明確定義和區分使用者和AI的指令 執行MCP工具之前,應透過Hash或簽章驗證等機制確認工具內容未被竄改 多個MCP伺服器共同運作時,應對邊界和資料實行嚴格的控管,並使用安全代理工具,確保彼此之間的安全性 See more: https://www.twcert.org.tw/tw/cp-104-10157-6fcad-1.html
最新文章
查看全部Source: IThome新聞 位處全球地緣政治衝突的熱區,臺灣這幾年面臨的網路攻擊活動大幅增加,時至2025年底,多家資安廠商陸續發表年度威脅態勢的回顧與展望。 首先,是11月底Fortinet全球威脅情報副總裁Derek Manky公開1月至9月的觀測結果。 位處全球地緣政治衝突的熱區,臺灣這幾年面臨的網路攻擊活動大幅增加,時至2025年底,多家資安廠商陸續發表年度威脅態勢的回顧與展望。 首
Source: IThome新聞 在現代商業競爭上,顧客體驗(Customer Experience)已成為企業勝出的關鍵戰略,而非僅僅是附加價值。 根據麥肯錫(McKinsey)的研究,提供優質顧客體驗的企業,其營收成長速度比競爭對手快1.5倍,股東回報率更是高出60%。 這不僅是一組數據,更是一個無法忽視的市場現實:忽略顧客體驗,企業終將被市場邊緣化。 更加值得深思的是,貝恩公司(Bain &
Source: IThome新聞 微軟在.NET 10正式版中導入新的統一建置架構(Unified Build),重整產品建置與發行流程,讓版本更新與安全修補的速度與可預測性大幅提升。 官方提到,這項改造是.NET團隊近4年投入基礎建置工作的成果,結合原先Linux原始碼建置經驗,目標是簡化多儲存庫開發造成的建置延遲與維護負擔。 微軟在.NET 10正式版中導入新的統一建置架構(Unified B
bottom of page
留言