Projek Damn Vulnerable Model Context Protocol (DVMCP) yang baru dilancarkan telah mencetuskan perbincangan penting dalam komuniti teknologi mengenai implikasi keselamatan pelaksanaan Model Context Protocol (MCP). Projek pendidikan ini, yang direka untuk menunjukkan kelemahan dalam pelaksanaan MCP, telah menyoroti salah faham asas tentang bagaimana sistem ini sepatutnya digunakan dan dilindungi.
Sempadan Kepercayaan Adalah Kunci kepada Keselamatan MCP
Pelayan MCP, menurut pakar dalam ruangan komen, tidak direka untuk menjadi API yang boleh diakses umum tetapi lebih kepada komponen yang beroperasi dalam persekitaran yang dipercayai. Ramai pengomen menekankan bahawa MCP menganggap lapisan pengangkutannya secara semula jadi dipercayai, yang tidak difahami secara meluas oleh pembangun yang melaksanakan sistem ini. Seorang pengomen menyatakan bahawa protokol ini menjelaskan perkara ini melalui mekanisme pengangkutan stdio lalainya, menunjukkan pelayan MCP dijangka berjalan dalam persekitaran yang secara tersirat boleh dipercayai untuk mana-mana klien yang boleh mencapainya.
Spesifikasi MCP menjadikan ia agak jelas bahawa pelayan MCP dijangka dijalankan dalam persekitaran yang secara tersirat dipercayai/boleh dipercayai untuk mana-mana klien yang boleh mencapainya. Ini jelas daripada pengangkutan stdio lalai/anggapan, tetapi walaupun dengan SSE, protokol mengharapkan pengesahan sudah diselesaikan.
Perspektif ini membingkai pelayan MCP bukan sebagai perkhidmatan tersendiri tetapi sebagai aplikasi klien itu sendiri—pada asasnya proksi atau pintu masuk yang mengabstrakkan perkhidmatan dan menambah konteks untuk LLM berinteraksi dengannya.
Insiden Keselamatan Dunia Sebenar Menimbulkan Kebimbangan
Walaupun model keselamatan teori, pelaksanaan dunia sebenar telah menunjukkan kelemahan yang ketara. Penyelidik keselamatan dari Invariant Labs telah mendokumentasikan beberapa vektor serangan termasuk keracunan alat, rug pulls, dan pembayangan alat. Satu contoh yang membimbangkan melibatkan pelayan MCP WhatsApp yang boleh memberi penyerang akses kepada data peribadi melalui teknik kejuruteraan sosial, di mana penyerang boleh menghantar teks kepada pengguna dengan arahan untuk pembantu mereka meneruskan mesej peribadi ke akaun lain.
Insiden-insiden ini mencadangkan bahawa walaupun MCP mungkin tidak secara semula jadi terdedah, ekosistem semasa menggalakkan pelaksanaan yang boleh membawa kepada pelanggaran keselamatan. Jurang antara model keselamatan teori (di mana MCP beroperasi dalam persekitaran yang dipercayai) dan pelaksanaan praktikal (di mana sempadan keselamatan sering tidak jelas ditakrifkan) kelihatan menjadi punca bagi banyak kelemahan.
Sumber Keselamatan untuk MCP
- Nota Keselamatan Awal: https://invariantlabs.ai/blog/mcp-security-notification-tool... (Butiran mengenai Keracunan Alat, Rug Pulls, Pembayangan Alat)
- Eksploitasi WhatsApp MCP: https://invariantlabs.ai/blog/whatsapp-mcp-exploited
- Serangan BrowserMCP: https://x.com/lbeurerkellner/status/1912145060763742579
- Alat Pengimbasan Keselamatan: https://github.com/invariantlabs-ai/mcp-scan
Pelaksanaan Sewajarnya Memerlukan Sempadan yang Jelas
Pembangun yang telah berjaya melaksanakan pelayan MCP yang selamat menekankan kepentingan kawalan yang jelas. Seorang pengomen menerangkan tentang mencipta pelayan dengan had ketat pada apa yang boleh dilakukannya—contohnya, membenarkannya menghantar mel tetapi hanya kepada alamat e-mel tertentu, atau mengehadkan akses sistem fail kepada direktori yang tidak sulit. Pendekatan ini menganggap pelayan MCP mempunyai kebenaran dan akses yang sama seperti orang yang bercakap dengan LLM, mewujudkan sempadan keselamatan yang jelas.
Projek DVMCP itu sendiri menggariskan sepuluh cabaran merentasi tiga tahap kesukaran, menunjukkan pelbagai vektor serangan dari suntikan arahan asas hingga serangan pelbagai vektor yang canggih. Contoh-contoh pendidikan ini berfungsi sebagai amaran tentang apa yang boleh berlaku apabila pertimbangan keselamatan diabaikan dalam pelaksanaan MCP.
Kelemahan Keselamatan Utama MCP yang Ditunjukkan dalam DVMCP
- Suntikan Arahan: Memanipulasi tingkah laku LLM melalui input berniat jahat
- Keracunan Alat: Menyembunyikan arahan berniat jahat dalam penerangan alat
- Kebenaran Berlebihan: Mengeksploitasi akses alat yang terlalu permisif
- Serangan Rug Pull: Mengeksploitasi mutasi definisi alat
- Pembayangan Alat: Menggantikan alat sah dengan yang berniat jahat
- Suntikan Arahan Tidak Langsung: Menyuntik arahan melalui sumber data
- Kecurian Token: Mengeksploitasi penyimpanan token yang tidak selamat
- Pelaksanaan Kod Berniat Jahat: Melaksanakan kod sewenang-wenangnya melalui alat yang lemah
- Kawalan Akses Jauh: Mendapatkan akses sistem tanpa kebenaran
- Serangan Pelbagai Vektor: Menggabungkan pelbagai kelemahan
Alat Pendidikan Menghadapi Cabaran Pengedaran
Menariknya, beberapa pengomen juga membangkitkan kebimbangan mengenai nama projek, menyatakan bahawa perkataan Damn dalam Damn Vulnerable Model Context Protocol boleh mengehadkan penggunaannya dalam persekitaran pendidikan, terutamanya untuk pelajar K-12. Ini mencerminkan cabaran yang dihadapi oleh Damn Vulnerable Web Application (DVWA) yang dinamakan serupa, di mana pendidik terpaksa menamakan semula atau mengklon projek untuk menjadikannya sesuai untuk pelajar yang lebih muda.
Seiring dengan pertumbuhan penggunaan MCP, komuniti kelihatan sedang bergelut dengan cabaran keselamatan teknikal dan pertimbangan praktikal tentang bagaimana untuk mendidik generasi pembangun seterusnya mengenai isu-isu ini. Projek DVMCP, walaupun berpotensi menimbulkan kebimbangan penamaan, mewakili langkah penting dalam meningkatkan kesedaran tentang pertimbangan keselamatan dalam protokol yang baru muncul ini.
Perbincangan mengenai keselamatan MCP menyoroti perkara penting untuk pembangun: memahami konteks penempatan dan model keselamatan yang dimaksudkan untuk protokol adalah sama pentingnya dengan memahami spesifikasi teknikalnya. Seperti yang dikatakan oleh seorang pengomen secara ringkas, keselamatan MCP adalah semua tentang kepercayaan—jika anda mempercayainya, anda tidak bermasalah, tetapi kepercayaan itu perlu ditubuhkan melalui pelaksanaan yang betul dan sempadan yang jelas.