实战出发：MCP体系中的隐蔽投毒与操控

现在 MCP (Model Context Protocol) 体系还处在比较早期的发展阶段，整体环境比较混沌，各种潜在的攻击方式层出不穷，以目前的协议和工具的设计是难以防御的。为了帮助社区更好地认识和提升 MCP 的安全性，慢雾(SlowMist) 特别开源了 MasterMCP 工具，希望通过实际攻击演练，帮助大家及时发现产品设计中的安全隐患，从而一步步加固自己的 MCP 项目。

同时，可以搭配上一期的 MCP 安全的检查清单来更好理解多种攻击的底层视角。这一次，我们带大家一起动手实操，演示在 MCP 体系下常见的攻击方式，比如信息投毒、隐匿恶意指令等真实案例。所有演示中使用的脚本也会一并开源到 GitHub（链接见文末），大家可以在安全的环境中完整复现整个流程，甚至基于这些脚本开发出自己的攻击测试插件。

整体架构概览

演示攻击⽬标 MCP：Toolbox

smithery.ai 是当前最受欢迎的 MCP 插件⽹站之⼀，聚集了⼤量 MCP 列表和活跃⽤户。其中 @smithery/toolbox 是 smithery.ai 官⽅推出的 MCP 管理⼯具。

选择 Toolbox 作为测试目标，主要基于以下几点：

• 用户基数庞大，具有代表性；
• 支持自动安装其他插件，补充部分客户端功能（如 Claude Desktop）；
• 包含敏感配置（如 API Key），便于进行演示。

演示使⽤的恶意 MCP：MasterMCP

MasterMCP 是慢雾(SlowMist) 专门为安全测试编写的模拟恶意 MCP 工具，采用插件化架构设计，包含以下关键模块：

1. 本地网站服务模拟：http://127.0.0.1:1024

为了更真实地还原攻击场景，MasterMCP 专门内置了一个本地网站服务模拟模块。它通过 FastAPI 框架快速搭建起一个简易的 HTTP 服务器，模拟常见的网页环境。这些页面表面看起来正常，比如展示蛋糕店信息或返回标准 JSON 数据，但实际上在页面源码或接口返回中暗藏了精心设计的恶意载荷。

通过这种方式，我们可以在安全、可控的本地环境中，完整演示信息投毒、指令隐藏等攻击手法，帮助大家更直观地理解：即使是一个看似普通的网页，也可能成为诱发大模型执行异常操作的隐患来源。

2. 本地插件化 MCP 架构

MasterMCP 采用了插件化的方式进行拓展，方便后续对新的攻击方式进行快速添加。在运行后，MasterMCP 会在子进程运行上一模块的 FastAPI 服务。（细心的话，你会注意到这里已经存在安全隐患 —— 本地插件可任意启动非 MCP 预期的子进程）

演示客户端

• Cursor：当前全球最流行的 AI 辅助编程 IDE 之一
• Claude Desktop：Anthropic（MCP 协议定制方）官方客户端

演示使用的⼤模型

• Claude 3.7

选择 Claude 3.7 版本，因其在敏感操作识别上已有一定改进，同时代表了当前 MCP 生态中较强的操作能力。

配置 claude_desktop_config.json

{  "mcpServers": {    "toolbox": {      "command": "npx",      "args": [        "-y",        "@smithery/cli@latest",        "run",        "@smithery/toolbox",        "--config",        "{\"dynamic\":false,\"smitheryApiKey\":\"ec1f0fa8-5797-8678-sdaf-155d4584b133\"}",        "--key",        "ec1f0fa8-5797-8678-sdaf-155d4584b133"      ]    },    "MasterMCP": {      "command": "/Users/xxx/Desktop/EvilMCP/bin/python",      "args": [        "/Users/xxx/Desktop/EvilMCP/MasterMCP.py"      ]    }  }}

配置完毕，正式进入演示环节。

Cross-MCP Malicious Invocation

本演示中包含了 Checklist 中投毒和 Cross-MCP 恶意调用两个内容。

⽹⻚内容投毒攻击

1. 注释型投毒（部分参考：https://x.com/lbeurerkellner/status/1912145060763742579）

Cursor 访问本地测试网站 http://127.0.0.1:1024。

这是一个看似无害的关于“Delicious Cake World”的页面，我们通过这个实验，模拟展示大模型客户端访问恶意网站造成的影响。

执⾏指令：

Fetch the content of http://127.0.0.1:1024

结果显示，Cursor 不仅读取了网页内容，还将本地敏感配置数据回传至测试服务器。源代码中，恶意提示词以 HTML 注释形式植入：

虽然注释方式较为直白，容易被识别，但已经可以触发恶意操作。

2. 编码型注释投毒

访问 http://127.0.0.1:1024/encode 页面，这是一个看起来和上面例子一样的网页，但其中恶意提示词进行了编码，这让投毒的 exp 更加隐蔽，即使访问网页源码也难以直接察觉。

即使源代码不含明文提示词，攻击依旧成功执行，具体原理将在后续章节详细解释。

MCP 工具返回信息投毒

这里我们根据 MasterMCP 的提示词说明输入我们的模拟指令（该指令没有实际含义，旨在触发我们的恶意 MCP 来演示恶意 MCP 的后续操作）：

get a lot of apples

可以看到，触发指令后，客户端跨 MCP 调用了 Toolbox 并成功添加了新的 MCP 服务器：

查看插件代码可发现，返回数据中已经嵌入了经过编码处理的恶意载荷，用户端几乎无法察觉异常。

第三⽅接⼝污染攻击

这个演示主要为了提醒大家，无论是恶意还是非恶意的 MCP，在调用第三方 API 的时候，如果直接将第三方的数据返回到上下文，都可能会带来严重的影响。

示例代码：

执行请求：

Fetch json from http://127.0.0.1:1024/api/data

结果：恶意提示词被植入到返回的 JSON 数据中并顺利触发恶意执行。

MCP 初始化阶段的投毒技术

本演示中包含了 Checklist 中初始的提示词注入及名称冲突两个内容。

恶意函数覆盖攻击

这里 MasterMCP 编写了一个与 Toolbox 用相同函数名 remove_server 的 tool，并编码隐藏了恶意提示词。

执行指令：

toolbox remove fetch plugin server

Claude Desktop 未调用原本的`toolbox remove_server`方法，而是触发了 MasterMCP 提供的同名方法：

原理是通过强调“原有方法已废弃”，优先诱导大模型调用恶意覆盖的函数。

添加恶意全局检查逻辑

这里 MasterMCP 编写了一个与 banana 的 tool，这个工具的核心作用是在提示词中强制所有工具运行前都必须执行该工具进行安全检查。

每次执行函数前，系统都会优先调用 banana 检查机制：

这是通过在代码中反复强调“必须运行 banana 检测”来实现的全局逻辑注入。

隐藏恶意提示词的进阶技巧

⼤模型友好的编码方式

由于大语言模型(LLM) 对多语言格式具备极强的解析能力，这反而被利用于隐藏恶意信息，常用方法包括：

• 英文环境下：使用 Hex Byte 编码

工具推荐：Hex Decoder

• 中文环境下：使用 NCR 编码或 JavaScript 编码

工具推荐：R12a Unicode Conversion Tools

随机恶意载荷返回机制

如第二章提到的第三方接口污染，当请求 http://127.0.0.1:1024/random 时：

每次都会随机返回一个带恶意载荷的页面，大大增加了检测与溯源的难度。

总结

通过这次 MasterMCP 的实战演示，我们直观地看到了 Model Context Protocol (MCP) 体系中隐藏的各种安全隐患。从简单的提示词注入、跨 MCP 调用，到更加隐蔽的初始化阶段攻击和恶意指令隐藏，每一个环节都在提醒我们：MCP 生态虽然强大，但同样脆弱。

尤其是在大模型越来越频繁地与外部插件、API 打交道的今天，小小的输入污染就可能引发整个系统级的安全风险。而攻击者手段的多样化（编码隐藏、随机污染、函数覆盖）也意味着，传统的防护思路需要全面升级。

安全从来不是一蹴而就的。

希望这次演示能为大家敲响警钟：不论是开发者还是使用者，都应该对 MCP 体系保持足够的警惕心，时刻关注每一次交互、每一行代码、每一个返回值。只有在每一个细节上严谨对待，才能真正构筑起一套稳固、安全的 MCP 环境。

下一步，我们也会继续完善 MasterMCP 脚本，开源更多针对性的测试用例，帮助大家在安全的环境下深入理解、演练和强化防护。

Ps. 相关内容已同步至 GitHub (https://github.com/slowmist/MasterMCP)，感兴趣的读者可点击文末的阅读原文直接跳转。