論文の概要: Beyond the Protocol: Unveiling Attack Vectors in the Model Context Protocol Ecosystem

• arxiv url: http://arxiv.org/abs/2506.02040v2
• Date: Thu, 05 Jun 2025 16:22:09 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-06-06 14:14:43.167332
• Title: Beyond the Protocol: Unveiling Attack Vectors in the Model Context Protocol Ecosystem
• Title（参考訳）: Beyond the Protocol: Model Context Protocol Ecosystemにおける攻撃ベクトルの公開
• Authors: Hao Song, Yiming Shen, Wenxuan Luo, Leixin Guo, Ting Chen, Jiashui Wang, Beibei Li, Xiaosong Zhang, Jiachi Chen,
• Abstract要約: Model Context Protocol(MCP)は、LLM(Large Language Model)アプリケーションと外部ツールやリソースとのシームレスな相互作用を可能にするために設計された新しい標準である。 本稿では,MPPエコシステムを対象とした攻撃ベクトルに関する最初の体系的研究について述べる。
• 参考スコア（独自算出の注目度）: 9.147044310206773
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The Model Context Protocol (MCP) is an emerging standard designed to enable seamless interaction between Large Language Model (LLM) applications and external tools or resources. Within a short period, thousands of MCP services have already been developed and deployed. However, the client-server integration architecture inherent in MCP may expand the attack surface against LLM Agent systems, introducing new vulnerabilities that allow attackers to exploit by designing malicious MCP servers. In this paper, we present the first systematic study of attack vectors targeting the MCP ecosystem. Our analysis identifies four categories of attacks, i.e., Tool Poisoning Attacks, Puppet Attacks, Rug Pull Attacks, and Exploitation via Malicious External Resources. To evaluate the feasibility of these attacks, we conduct experiments following the typical steps of launching an attack through malicious MCP servers: upload-download-attack. Specifically, we first construct malicious MCP servers and successfully upload them to three widely used MCP aggregation platforms. The results indicate that current audit mechanisms are insufficient to identify and prevent the proposed attack methods. Next, through a user study and interview with 20 participants, we demonstrate that users struggle to identify malicious MCP servers and often unknowingly install them from aggregator platforms. Finally, we demonstrate that these attacks can trigger harmful behaviors within the user's local environment-such as accessing private files or controlling devices to transfer digital assets-by deploying a proof-of-concept (PoC) framework against five leading LLMs. Additionally, based on interview results, we discuss four key challenges faced by the current security ecosystem surrounding MCP servers. These findings underscore the urgent need for robust security mechanisms to defend against malicious MCP servers.
• Abstract（参考訳）: Model Context Protocol(MCP)は、LLM(Large Language Model)アプリケーションと外部ツールやリソースとのシームレスな相互作用を可能にするために設計された新しい標準である。 短期間のうちに、すでに数千のMSPサービスが開発され、デプロイされている。 しかし、MSP固有のクライアントサーバ統合アーキテクチャは、LLMエージェントシステムに対する攻撃面を拡張し、悪意のあるMSPサーバを設計することで攻撃者が悪用できる新たな脆弱性を導入する可能性がある。 本稿では,MPPエコシステムを対象とした攻撃ベクトルに関する最初の体系的研究について述べる。 本分析では, ツール中毒攻撃, Puppetアタック, ラグビープルアタック, 悪質外部リソースによるエクスプロイテーションの4つのカテゴリを同定した。 これらの攻撃の有効性を評価するため、悪意のあるMPPサーバを通じて攻撃を開始する典型的な手順として、アップロード-ダウンロード-アタック(load-download- attack)という実験を行った。 具体的には、まず悪意のあるMPPサーバを構築し、3つの広く使われているMPPアグリゲーションプラットフォームにアップロードする。 その結果,現在の監査機構は,攻撃方法の特定・防止に不十分であることが示唆された。 次に、ユーザスタディと20人の参加者とのインタビューを通じて、悪意のあるMPPサーバを特定し、アグリゲータプラットフォームから無意識にインストールすることの難しさを実証する。 最後に、これらの攻撃は、5つの主要なLCMに対して概念実証(PoC)フレームワークを配置することにより、ユーザのローカル環境(プライベートファイルへのアクセスやデジタル資産の転送のためのデバイス制御など)の有害な動作を引き起こす可能性があることを実証する。 さらに、インタビュー結果に基づいて、MPPサーバを取り巻く現在のセキュリティエコシステムが直面している4つの重要な課題について論じる。 これらの知見は、悪意のあるMPPサーバを防御する堅牢なセキュリティメカニズムの緊急の必要性を浮き彫りにした。

関連論文リスト

• MPMA: Preference Manipulation Attack Against Model Context Protocol [24.584415826402935]
  Model Context Protocol (MCP)は、大きな言語モデル(LLM)のインタフェースマッピングを標準化し、外部データやツールにアクセスする。 サードパーティ製のMSPサーバをカスタマイズしたバージョンは、潜在的なセキュリティ上の脆弱性を露呈する。 本稿では,MPMA(MPP Preference Manipulation Attack)と呼ばれる新しいセキュリティ脅威を最初に紹介する。
  論文  参考訳（メタデータ） (2025-05-16T11:55:12Z)
• AGENTFUZZER: Generic Black-Box Fuzzing for Indirect Prompt Injection against LLM Agents [54.29555239363013]
  本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジィングフレームワークであるAgentXploitを提案する。 我々は、AgentXploitをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。 攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
  論文  参考訳（メタデータ） (2025-05-09T07:40:17Z)
• MCP Guardian: A Security-First Layer for Safeguarding MCP-Based AI System [0.0]
  MCPガーディアンは、認証、レート制限、ロギング、トレース、Web Application Firewall(WAF)スキャンによるMPPベースの通信を強化するフレームワークである。 弊社のアプローチは、AIアシスタントのためのセキュアでスケーラブルなデータアクセスを促進する。
  論文  参考訳（メタデータ） (2025-04-17T08:49:10Z)
• MCP Bridge: A Lightweight, LLM-Agnostic RESTful Proxy for Model Context Protocol Servers [0.5266869303483376]
  MCP Bridgeは軽量プロキシで、複数のMPPサーバに接続し、統一されたAPIを通じてその機能を公開します。 システムは、標準MPPクライアントとの後方互換性を維持しながら、3つのセキュリティレベル標準実行、確認、Dockerアイソレーションを備えたリスクベースの実行モデルを実装している。
  論文  参考訳（メタデータ） (2025-04-11T22:19:48Z)
• MCP Safety Audit: LLMs with the Model Context Protocol Allow Major Security Exploits [0.0]
  Model Context Protocol (MCP) は、大規模言語モデル(LLM)、データソース、エージェントツールへのAPI呼び出しを標準化するオープンプロトコルである。 現在のMPP設計はエンドユーザーに幅広いセキュリティリスクをもたらすことを示す。 任意のMPPサーバのセキュリティを評価するために,安全監査ツールであるMPPSafetyScannerを導入する。
  論文  参考訳（メタデータ） (2025-04-02T21:46:02Z)
• Commercial LLM Agents Are Already Vulnerable to Simple Yet Dangerous Attacks [88.84977282952602]
  最近のMLセキュリティ文献は、整列型大規模言語モデル(LLM)に対する攻撃に焦点を当てている。 本稿では,LLMエージェントに特有のセキュリティとプライバシの脆弱性を分析する。 我々は、人気のあるオープンソースおよび商用エージェントに対する一連の実証的な攻撃を行い、その脆弱性の即時的な影響を実証した。
  論文  参考訳（メタデータ） (2025-02-12T17:19:36Z)
• DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified Robustness [58.23214712926585]
  我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。 具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。 私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
  論文  参考訳（メタデータ） (2023-03-20T17:25:22Z)
• Not what you've signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection [64.67495502772866]
  大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。 本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。 我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
  論文  参考訳（メタデータ） (2023-02-23T17:14:38Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。