aminrj-labs/mcp-attack-labs

# MCP Attack Labs 一个不断增长的实际安全实验室集合，探索 AI 攻击技术——从 MCP 工具投毒到 RAG 注入再到代理式内存利用。完全可在本地复现， 无需云 API。 ## 实验室 | # | 实验室 | 攻击面 | 核心技巧 | 难度 | |---|-----|---------------|----------------|------------| | 01 | [MCP 工具投毒](./labs/01-mcp-tool-poisoning/) | MCP 协议层 | 在工具描述中隐藏指令 → 静默文件泄露 | 入门 | | 02 | [DockerDash](./labs/02-docker-dash/) | 容器供应链 | 通过 Docker 镜像标签的提示注入 → 容器破坏 + 库存泄露 | 中级 | | 03 | [红队评估](./labs/03-red-team-assessment/) | 代理式 AI 流水线 | 使用 PyRIT + Promptfoo 的自动化红队演练 → 渐进式泄露 + TAP 工具滥用 | 中级 | | 04 | [RAG 安全](./labs/04-rag-security/) | 知识库 / 检索层 | 知识投毒 · 间接提示注入 · 跨租户数据泄露 | 中级 | | 05 | [代理式内存攻击](./labs/05-agentic-memory-attacks/) | 代理内存与信任边界 | 持久化内存投毒 · 跨代理信任利用 · 上下文溢出 | 高级 | 每个实验室都是自包含的：独立的 `README.md`、攻击代码、防御代码、博客文章和 Jupyter 演练本。 ## 攻击面覆盖 ``` ┌──────────────────────────────────────────────────────────────────────┐ │ User → Agent → Tools → Memory / Context → External Systems │ │ │ │ Lab 01: ──────── MCP tools (protocol layer) │ │ Lab 02: ──────────────────── Container meta-data (supply chain) │ │ Lab 03: ──── Agent pipeline (automated assessment) │ │ Lab 04: ─────────────────────────────── RAG / vector DB │ │ Lab 05: ─────────────────────── Agent memory + multi-agent trust │ └──────────────────────────────────────────────────────────────────────┘ ``` ## 通用先决条件 每个实验室需要： - Python 3.11+ - [LM Studio](https://lmstudio.ai/) 并加载模型（本地推理） - Node.js 18+（用于 MCP 服务器和 Promptfoo） 各实验室的特定要求（Docker、额外模型、端口）请查阅对应实验室的 README。 ## 按博客文章快速导航 | 博客文章 | 实验室 | |-----------|-----| | MCP 工具投毒 | [实验室 01 →](./labs/01-mcp-tool-poisoning/) | | DockerDash：供应链提示注入 | [实验室 02 →](./labs/02-docker-dash/) | | 红队代理式 AI | [实验室 03 →](./labs/03-red-team-assessment/) | | RAG 安全架构：知识库中隐藏的攻击面 | [实验室 04 →](./labs/04-rag-security/) | ## 添加新实验室 将 `labs/00-template/` 复制为起点。填写 README，添加你的代码， 并在上方表格中追加一行。

标签：AI安全, Chat Copilot, Docker安全, MCP安全, MITM代理, Promptfoo, PyRIT, RAG注入, SEO词, TGT, 上下文溢出, 代理记忆攻击, 多智能体系统, 安全实验室, 容器供应链安全, 工具投毒, 技术栈, 提示注入, 攻击实验, 攻防演练, 无云API, 本地复现, 模型上下文协议, 红队评估, 请求拦截, 跨租户数据泄漏, 逆向工具, 防御实验, 集群管理