Fugu-MT 論文翻訳(概要): Mind Your Server: A Systematic Study of Parasitic Toolchain Attacks on the MCP Ecosystem

論文の概要: Mind Your Server: A Systematic Study of Parasitic Toolchain Attacks on the MCP Ecosystem

arxiv url: http://arxiv.org/abs/2509.06572v1
Date: Mon, 08 Sep 2025 11:35:32 GMT
ステータス: 翻訳完了
システム内更新日: 2025-09-09 14:07:04.092861
Title: Mind Your Server: A Systematic Study of Parasitic Toolchain Attacks on the MCP Ecosystem
Title（参考訳）: Mind Your Server: MCPエコシステムにおける寄生ツールチェーン攻撃の体系的研究
Authors: Shuli Zhao, Qinsheng Hou, Zihan Zhan, Yanhao Wang, Yuchong Xie, Yu Guo, Libo Chen, Shenghong Li, Zhi Xue,
Abstract要約: 大規模言語モデル(LLM)は、モデルコンテキストプロトコル(MCP)を通じて、外部システムとますます統合される。本稿では,MCP Unintended Privacy Disclosure (MCP-UPD) としてインスタンス化された新たな攻撃方法であるParasitic Toolchain Attacksを明らかにする。悪意のあるロジックはツールチェーンに侵入し,寄生的取り込み,プライバシコレクション,プライバシ開示という3つのフェーズで展開する。
参考スコア（独自算出の注目度）: 13.95558554298296
License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
Abstract: Large language models (LLMs) are increasingly integrated with external systems through the Model Context Protocol (MCP), which standardizes tool invocation and has rapidly become a backbone for LLM-powered applications. While this paradigm enhances functionality, it also introduces a fundamental security shift: LLMs transition from passive information processors to autonomous orchestrators of task-oriented toolchains, expanding the attack surface, elevating adversarial goals from manipulating single outputs to hijacking entire execution flows. In this paper, we reveal a new class of attacks, Parasitic Toolchain Attacks, instantiated as MCP Unintended Privacy Disclosure (MCP-UPD). These attacks require no direct victim interaction; instead, adversaries embed malicious instructions into external data sources that LLMs access during legitimate tasks. The malicious logic infiltrates the toolchain and unfolds in three phases: Parasitic Ingestion, Privacy Collection, and Privacy Disclosure, culminating in stealthy exfiltration of private data. Our root cause analysis reveals that MCP lacks both context-tool isolation and least-privilege enforcement, enabling adversarial instructions to propagate unchecked into sensitive tool invocations. To assess the severity, we design MCP-SEC and conduct the first large-scale security census of the MCP ecosystem, analyzing 12,230 tools across 1,360 servers. Our findings show that the MCP ecosystem is rife with exploitable gadgets and diverse attack methods, underscoring systemic risks in MCP platforms and the urgent need for defense mechanisms in LLM-integrated environments.
Abstract（参考訳）: 大規模言語モデル (LLM) は、ツールの実行を標準化する Model Context Protocol (MCP) を通じて、外部システムとますます統合されている。 LLMは受動的情報プロセッサからタスク指向ツールチェーンの自律オーケストレータへの移行、攻撃面の拡大、単一アウトプットの操作から実行フロー全体のハイジャックに至るまでの敵の目標の増大といった、基本的なセキュリティシフトも導入している。本稿では,MCP Unintended Privacy Disclosure (MCP-UPD) と呼ばれる新たな攻撃手法であるParasitic Toolchain Attacksについて述べる。これらの攻撃は直接の犠牲者のやりとりを必要としないが、敵は悪意のある命令を外部のデータソースに埋め込んで、LSMが正当なタスクの間アクセスできるようにする。悪意のあるロジックはツールチェーンに侵入し,寄生的取り込み,プライバシコレクション,プライバシ開示という3つのフェーズで展開する。根本原因分析の結果,MPPには文脈とツールの分離と最小限の強制が欠如していることが判明した。重大性を評価するため,我々はMPP-SECを設計し,MCPエコシステムの大規模セキュリティ調査を行い,12,230のツールを1,360サーバにわたって分析した。以上の結果から,MPP のエコシステムは,多種多様な攻撃方法や,MPP プラットフォームにおけるシステム的リスクの強調,LCM 統合環境における防衛機構の緊急の必要性が指摘されている。

関連論文リスト

Systematic Analysis of MCP Security [13.801464032236481]
Model Context Protocol(MCP)は、AIエージェントが外部ツールとシームレスに接続できるようにする普遍的な標準として登場した。 MCPはツール・ポジティング・アタック(TPA)のような重大な脆弱性を導入している。 MCPアタックライブラリ (MCPLIB) は, 4つの主要な分類の下で31の異なる攻撃手法を分類・実装する。
論文参考訳（メタデータ） (2025-08-18T00:23:41Z)
Trivial Trojans: How Minimal MCP Servers Enable Cross-Tool Exfiltration of Sensitive Data [0.0]
Model Context Protocol(MCP)は、AIエージェントと外部サービス間のシームレスな通信を可能にする、AI-tool統合の大幅な進歩を表している。本稿では、基本的なプログラミングスキルと無料のウェブツールしか必要としない、高度化されていない脅威アクターが、MCPの信頼モデルを利用して、機密性の高い財務データを流出させることを実証する。
論文参考訳（メタデータ） (2025-07-26T09:22:40Z)
We Should Identify and Mitigate Third-Party Safety Risks in MCP-Powered Agent Systems [48.345884334050965]
MCPが導入した新たな安全リスク問題に細心の注意を払うため, LLMの安全に関する研究コミュニティを提唱する。 MCPによるエージェントシステムの安全性のリスクは本当の脅威であり、その防御は自明なものではないことを実証するために、一連の実験を行った。
論文参考訳（メタデータ） (2025-06-16T16:24:31Z)
Beyond the Protocol: Unveiling Attack Vectors in the Model Context Protocol (MCP) Ecosystem [9.147044310206773]
Model Context Protocol(MCP)は、LLM(Large Language Model)アプリケーションと外部ツールやリソースとのシームレスな相互作用を可能にするために設計された新しい標準である。本稿では,MPPエコシステムを対象とした攻撃ベクトルに関する最初の体系的研究について述べる。
論文参考訳（メタデータ） (2025-05-31T08:01:11Z)
AgentVigil: Generic Black-Box Red-teaming for Indirect Prompt Injection against LLM Agents [54.29555239363013]
本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジリングフレームワークであるAgentVigilを提案する。我々はAgentVigilをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
論文参考訳（メタデータ） (2025-05-09T07:40:17Z)
Defeating Prompt Injections by Design [79.00910871948787]
CaMeLは、Large Language Modelsを中心とした保護システムレイヤを作成する堅牢なディフェンスである。 CaMeLは、(信頼された)クエリから制御とデータフローを明示的に抽出する。セキュリティをさらに改善するため、CaMeLは、権限のないデータフロー上のプライベートデータの流出を防止する機能の概念を使用している。
論文参考訳（メタデータ） (2025-03-24T15:54:10Z)
Commercial LLM Agents Are Already Vulnerable to Simple Yet Dangerous Attacks [88.84977282952602]
最近のMLセキュリティ文献は、整列型大規模言語モデル(LLM)に対する攻撃に焦点を当てている。本稿では,LLMエージェントに特有のセキュリティとプライバシの脆弱性を分析する。我々は、人気のあるオープンソースおよび商用エージェントに対する一連の実証的な攻撃を行い、その脆弱性の即時的な影響を実証した。
論文参考訳（メタデータ） (2025-02-12T17:19:36Z)
Not what you've signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection [64.67495502772866]
大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
論文参考訳（メタデータ） (2023-02-23T17:14:38Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。