論文の概要: When MCP Servers Attack: Taxonomy, Feasibility, and Mitigation

• arxiv url: http://arxiv.org/abs/2509.24272v1
• Date: Mon, 29 Sep 2025 04:29:58 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-09-30 22:32:19.745874
• Title: When MCP Servers Attack: Taxonomy, Feasibility, and Mitigation
• Title（参考訳）: MCPサーバの攻撃時: 分類学、可能性、緩和
• Authors: Weibo Zhao, Jiahao Liu, Bonan Ruan, Shaofei Li, Zhenkai Liang,
• Abstract要約: モデルコンテキストプロトコル(MCP)サーバは、AIアプリケーションがプラグアンドプレイ方式で外部システムに接続できるようにする。 このようなプレッシャーのかかるリスクにもかかわらず、CPサーバのセキュリティへの影響はいまだ過小評価されている。 MCPサーバをアクティブな脅威アクターとして扱い、それらをコアコンポーネントに分解する最初の体系的な研究を提案する。
• 参考スコア（独自算出の注目度）: 23.550422942185904
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Model Context Protocol (MCP) servers enable AI applications to connect to external systems in a plug-and-play manner, but their rapid proliferation also introduces severe security risks. Unlike mature software ecosystems with rigorous vetting, MCP servers still lack standardized review mechanisms, giving adversaries opportunities to distribute malicious implementations. Despite this pressing risk, the security implications of MCP servers remain underexplored. To address this gap, we present the first systematic study that treats MCP servers as active threat actors and decomposes them into core components to examine how adversarial developers can implant malicious intent. Specifically, we investigate three research questions: (i) what types of attacks malicious MCP servers can launch, (ii) how vulnerable MCP hosts and Large Language Models (LLMs) are to these attacks, and (iii) how feasible it is to carry out MCP server attacks in practice. Our study proposes a component-based taxonomy comprising twelve attack categories. For each category, we develop Proof-of-Concept (PoC) servers and demonstrate their effectiveness across diverse real-world host-LLM settings. We further show that attackers can generate large numbers of malicious servers at virtually no cost. We then test state-of-the-art scanners on the generated servers and found that existing detection approaches are insufficient. These findings highlight that malicious MCP servers are easy to implement, difficult to detect with current tools, and capable of causing concrete damage to AI agent systems. Addressing this threat requires coordinated efforts among protocol designers, host developers, LLM providers, and end users to build a more secure and resilient MCP ecosystem.
• Abstract（参考訳）: Model Context Protocol(MCP)サーバは、AIアプリケーションがプラグアンドプレイで外部システムに接続できるようにするが、その急速な普及は深刻なセキュリティリスクも引き起こす。 厳格な審査を伴う成熟したソフトウェアエコシステムとは異なり、MPPサーバは依然として標準化されたレビューメカニズムが欠如しており、悪意ある実装を配布する敵の機会を与えている。 このようなプレッシャーのかかるリスクにもかかわらず、CPサーバのセキュリティへの影響はいまだ過小評価されている。 このギャップに対処するため,我々は,MCPサーバをアクティブな脅威アクターとして扱い,それをコアコンポーネントに分解して,敵の開発者が悪意ある意図を埋め込む方法について検討する,最初の体系的研究を行った。 具体的には,3つの研究課題について考察する。 (i)悪意のあるMPPサーバが起動できる攻撃の種類。 i) MCPホストとLarge Language Models(LLM)がこれらの攻撃に対してどれほど脆弱か、そして 三 実際にMPPサーバー攻撃を行うことがいかに実現可能か。 本研究は、12の攻撃カテゴリからなるコンポーネントベースの分類法を提案する。 各カテゴリに対して,Proof-of-Concept(PoC)サーバを開発し,実世界のホスト-LLM設定にまたがってその有効性を実証する。 さらに、攻撃者は事実上無コストで大量の悪意のあるサーバを生成できることを示す。 次に、生成されたサーバ上で最先端のスキャナーをテストし、既存の検出手法が不十分であることを発見した。 これらの結果は、悪意のあるMPPサーバの実装が容易で、現在のツールでは検出が困難であり、AIエージェントシステムに具体的なダメージを与える可能性があることを浮き彫りにしている。 この脅威に対処するには、プロトコルデザイナ、ホスト開発者、LLMプロバイダ、エンドユーザの間で協調して、よりセキュアでレジリエントなMPPエコシステムを構築する必要があります。

関連論文リスト

• Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
  Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。 攻撃パラダイムを初期感染と持続性という2つの段階に分類する。 当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
  論文  参考訳（メタデータ） (2025-09-19T04:10:52Z)
• Trivial Trojans: How Minimal MCP Servers Enable Cross-Tool Exfiltration of Sensitive Data [0.0]
  Model Context Protocol(MCP)は、AIエージェントと外部サービス間のシームレスな通信を可能にする、AI-tool統合の大幅な進歩を表している。 本稿では、基本的なプログラミングスキルと無料のウェブツールしか必要としない、高度化されていない脅威アクターが、MCPの信頼モデルを利用して、機密性の高い財務データを流出させることを実証する。
  論文  参考訳（メタデータ） (2025-07-26T09:22:40Z)
• We Should Identify and Mitigate Third-Party Safety Risks in MCP-Powered Agent Systems [48.345884334050965]
  MCPが導入した新たな安全リスク問題に細心の注意を払うため, LLMの安全に関する研究コミュニティを提唱する。 MCPによるエージェントシステムの安全性のリスクは本当の脅威であり、その防御は自明なものではないことを実証するために、一連の実験を行った。
  論文  参考訳（メタデータ） (2025-06-16T16:24:31Z)
• Beyond the Protocol: Unveiling Attack Vectors in the Model Context Protocol (MCP) Ecosystem [16.610726885457847]
  Model Context Protocol(MCP)は、LLM(Large Language Model)アプリケーションと外部ツールやリソースとのシームレスな相互作用を可能にするために設計された新しい標準である。 本稿では,MPPエコシステムをターゲットとした攻撃ベクトルのエンド・ツー・エンドの実証評価について述べる。
  論文  参考訳（メタデータ） (2025-05-31T08:01:11Z)
• MCIP: Protecting MCP Safety via Model Contextual Integrity Protocol [47.98229326363512]
  本稿では,モデルコンテキストプロトコルの安全性を高めるための新しいフレームワークを提案する。 MAESTRO フレームワークをベースとして,まず MCP に欠落する安全機構を解析する。 次に、MPPシナリオで観察されるさまざまな安全でない振る舞いをキャプチャする、きめ細かい分類法を開発する。
  論文  参考訳（メタデータ） (2025-05-20T16:41:45Z)
• Not what you've signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection [64.67495502772866]
  大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。 本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。 我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
  論文  参考訳（メタデータ） (2023-02-23T17:14:38Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。