上一篇我们介绍了MAESTRO的威胁建模方法,本篇看一个MCP的场景应用。MAESTRO框架在七层上列出了威胁全集,具体到场景上,有些威胁不会产生影响,只需要考虑有影响的威胁,对威胁分析的定级,并做消减手段。
本文来自论文,由于篇幅限制,只介绍威胁分析部分。
按威胁建模的方法,首先对系统做分解,对每个子系统作分析。按上图架构,系统大体可以分为MCP服务器,MCP客户端,MCP主机,数据源和外部资源威胁,与工具相关的威胁,与提示相关的威胁。再按照威胁的七层定义:
可简单总结表格如下
这就是High Level的威胁建模,对每一层的威胁,根据具体威胁及影响的层级,再分析影响范围及消减手段。
上表是基于MAESTRO的通用威胁,涉及到MCP的部分,需重点考虑:
- 工具中毒
恶意操纵工具描述或参数,以诱发 AI 模型采取意外或有害的行为。 - 数据泄露
通过受损工具或操纵的 MCP 响应未经授权提取敏感数据。 - 命令与控制 (C2)通过受损的 MCP 服务器或工具建立隐蔽的 C2 通道。
- 更新机制泄露
通过被入侵的 MCP 服务器或工具更新渠道插入持久后门或恶意软件。 - 身份和访问控制颠覆
利用身份验证或授权缺陷获取未经授权的访问或提升权限。 - 拒绝服务(DoS)
通过过多的请求或资源耗尽攻击使 MCP 服务器或依赖资源过载。 - 不安全的配置
利用 MCP 服务器、网络设置或访问控制中的错误配置。
这些需要细化到上表中。
针对每种威胁,分析及影响,风险,然后制定消减措施,就是完整的威胁建模。
更详细的信息,可以参阅论文 https://arxiv.org/html/2504.08623v1
及MAESTRO的威胁建模框架。
END
原文始发于微信公众号(AI与安全):MCP协议的威胁建模,基于MAESTRO框架
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论