我们出这个安全检查清单的背景是因为过去一段时间我们安全审计了一些 MCP(Model Context Protocol) 案例,尤其是加密货币领域的。当时安全团队的 Aro 发现了 MCP MITM 场景下的一些恶意利用方式,这些利用技巧可以在用户非预期情况下,转走用户的加密货币资产。
随着对 MCP 更多案例的实践研究,我们觉得应该尽快出一份安全检查清单,以供各 MCP 项目方参考安全加固。于是就有了这份分享。如果你玩 AI(LLM),你应该早也意识到 MCP 或类似协议或扩展补充协议的流行大大扩展了 LLM 的能力边界。
好了,不多说。这份分享在这:
代码仓库:
https://github.com/slowmist/MCP-Security-Checklist
我们之后会逐步披露围绕 MCP 的一些真实安全案例。当然,其实这玩意上手后就会发现并不复杂,围绕 MCP 的安全案例会越来多,如果 MCP 可以这样一直火下去的话...
原文始发于微信公众号(懒人在思考):慢雾:AI 安全之 MCP 安全检查清单
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论