論文の概要: Toward Understanding Security Issues in the Model Context Protocol Ecosystem

• arxiv url: http://arxiv.org/abs/2510.16558v1
• Date: Sat, 18 Oct 2025 16:09:05 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-25 00:56:39.038054
• Title: Toward Understanding Security Issues in the Model Context Protocol Ecosystem
• Title（参考訳）: モデルコンテキストプロトコルエコシステムにおけるセキュリティ問題の理解に向けて
• Authors: Xiaofan Li, Xing Gao,
• Abstract要約: 本稿では,Model Context Protocolエコシステムの総合的なセキュリティ分析について紹介する。 MCPエコシステムを3つのコアコンポーネント – ホスト,レジストリ,サーバ – に分割する。 攻撃者がサーバーをハイジャックできる幅広い脆弱性を発見しました。
• 参考スコア（独自算出の注目度）: 4.3754423452518205
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: The Model Context Protocol (MCP) is an emerging open standard that enables AI-powered applications to interact with external tools through structured metadata. A rapidly growing ecosystem has formed around MCP, including a wide range of MCP hosts (i.e., Cursor, Windsurf, Claude Desktop, and Cline), MCP registries (i.e., mcp.so, MCP Market, MCP Store, Pulse MCP, Smithery, and npm), and thousands of community-contributed MCP servers. Although the MCP ecosystem is gaining traction, there has been little systematic study of its architecture and associated security risks. In this paper, we present the first comprehensive security analysis of the MCP ecosystem. We decompose MCP ecosystem into three core components: hosts, registries, and servers, and study the interactions and trust relationships among them. Users search for servers on registries and configure them in the host, which translates LLM-generated output into external tool invocations provided by the servers and executes them. Our qualitative analysis reveals that hosts lack output verification mechanisms for LLM-generated outputs, enabling malicious servers to manipulate model behavior and induce a variety of security threats, including but not limited to sensitive data exfiltration. We uncover a wide range of vulnerabilities that enable attackers to hijack servers, due to the lack of a vetted server submission process in registries. To support our analysis, we collect and analyze a dataset of 67,057 servers from six public registries. Our quantitative analysis demonstrates that a substantial number of servers can be hijacked by attackers. Finally, we propose practical defense strategies for MCP hosts, registries, and users. We responsibly disclosed our findings to affected hosts and registries.
• Abstract（参考訳）: Model Context Protocol(MCP)は、構造化メタデータを通じてAIベースのアプリケーションが外部ツールと対話できるようにする、新たなオープン標準である。 MCP周辺では、幅広いMSPホスト(Cursor、Windsurf、Claude Desktop、Cline)、MSPレジストリ(mcp.so、MPP Market、MPP Store、Pulse MCP、Smithery、npm)、何千ものコミュニティが提供するMSPサーバが急速に成長している。 MCPエコシステムは勢いを増しているが、アーキテクチャと関連するセキュリティリスクに関する体系的な研究はほとんど行われていない。 本稿では,MPPエコシステムの総合的なセキュリティ分析を初めて紹介する。 我々は,MSPエコシステムをホスト,レジストリ,サーバの3つのコアコンポーネントに分解し,それら間のインタラクションと信頼関係について検討する。 ユーザはレジストリ上のサーバを検索してホストに設定し、LLM生成した出力をサーバが提供する外部ツール呼び出しに変換して実行する。 我々の定性的分析により、ホストはLCM出力の出力検証機構が欠如していることが判明し、悪意のあるサーバがモデル動作を操作でき、機密データ抽出に限らず、様々なセキュリティ脅威を誘発できることがわかった。 レジストリに拒否されたサーバの提出プロセスがないため、攻撃者がサーバをハイジャックできる幅広い脆弱性を発見しました。 分析を支援するため、6つのパブリックレジストリから67,057サーバのデータセットを収集し分析した。 我々の定量的分析は、相当数のサーバーが攻撃者によって乗っ取られていることを示している。 最後に,MPPホスト,レジストリ,ユーザに対する実用的な防衛戦略を提案する。 感染したホストや登録者に対して,我々の発見を責任を持って開示した。

関連論文リスト

• Code Agent can be an End-to-end System Hacker: Benchmarking Real-world Threats of Computer-use Agent [64.08182031659047]
  我々は,MITRE ATT&CK Enterprise Matrix において,実世界の TTP に対応する最初のベンチマークである AdvCUA を提案する。 ReAct、AutoGPT、Gemini CLI、Cursor CLIの5つの主要なCUAを評価した。 結果は、現在のフロンティアCUAがOSのセキュリティ中心の脅威を十分にカバーしていないことを示している。
  論文  参考訳（メタデータ） (2025-10-08T03:35:23Z)
• When MCP Servers Attack: Taxonomy, Feasibility, and Mitigation [23.550422942185904]
  モデルコンテキストプロトコル(MCP)サーバは、AIアプリケーションがプラグアンドプレイ方式で外部システムに接続できるようにする。 このようなプレッシャーのかかるリスクにもかかわらず、CPサーバのセキュリティへの影響はいまだ過小評価されている。 MCPサーバをアクティブな脅威アクターとして扱い、それらをコアコンポーネントに分解する最初の体系的な研究を提案する。
  論文  参考訳（メタデータ） (2025-09-29T04:29:58Z)
• Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
  Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。 攻撃パラダイムを初期感染と持続性という2つの段階に分類する。 当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
  論文  参考訳（メタデータ） (2025-09-19T04:10:52Z)
• Mind Your Server: A Systematic Study of Parasitic Toolchain Attacks on the MCP Ecosystem [13.95558554298296]
  大規模言語モデル(LLM)は、モデルコンテキストプロトコル(MCP)を通じて、外部システムとますます統合される。 本稿では,MCP Unintended Privacy Disclosure (MCP-UPD) としてインスタンス化された新たな攻撃方法であるParasitic Toolchain Attacksを明らかにする。 悪意のあるロジックはツールチェーンに侵入し,寄生的取り込み,プライバシコレクション,プライバシ開示という3つのフェーズで展開する。
  論文  参考訳（メタデータ） (2025-09-08T11:35:32Z)
• MCP-Universe: Benchmarking Large Language Models with Real-World Model Context Protocol Servers [86.00932417210477]
  MCP-Universeは,実世界のMPPサーバとのインタラクションを通じて,現実的かつ困難なタスクにおいてLLMを評価するために設計された,初めての総合ベンチマークである。 私たちのベンチマークでは、ロケーションナビゲーション、リポジトリ管理、財務分析、3Dデザイン、ブラウザ自動化、Web検索という、11の異なるMSPサーバにまたがる6つのコアドメインを網羅しています。 GPT-5 (43.72%) やGrok-4 (33.33%) やClaude-4.0-Sonnet (29.44%) のようなSOTAモデルでさえ、大幅な性能制限がある。
  論文  参考訳（メタデータ） (2025-08-20T13:28:58Z)
• LiveMCPBench: Can Agents Navigate an Ocean of MCP Tools? [50.60770039016318]
  モデルコンテキストプロトコル(MCP)エージェントをベンチマークする最初の総合ベンチマークであるLiveMCPBenchを紹介する。 LiveMCPBenchは、MPPエコシステムに根ざした95の現実世界のタスクで構成されている。 評価は10の先行モデルを対象としており、最高の性能のモデルが78.95%の成功率に達した。
  論文  参考訳（メタデータ） (2025-08-03T14:36:42Z)
• Trivial Trojans: How Minimal MCP Servers Enable Cross-Tool Exfiltration of Sensitive Data [0.0]
  Model Context Protocol(MCP)は、AIエージェントと外部サービス間のシームレスな通信を可能にする、AI-tool統合の大幅な進歩を表している。 本稿では、基本的なプログラミングスキルと無料のウェブツールしか必要としない、高度化されていない脅威アクターが、MCPの信頼モデルを利用して、機密性の高い財務データを流出させることを実証する。
  論文  参考訳（メタデータ） (2025-07-26T09:22:40Z)
• We Should Identify and Mitigate Third-Party Safety Risks in MCP-Powered Agent Systems [48.345884334050965]
  MCPが導入した新たな安全リスク問題に細心の注意を払うため, LLMの安全に関する研究コミュニティを提唱する。 MCPによるエージェントシステムの安全性のリスクは本当の脅威であり、その防御は自明なものではないことを実証するために、一連の実験を行った。
  論文  参考訳（メタデータ） (2025-06-16T16:24:31Z)
• Beyond the Protocol: Unveiling Attack Vectors in the Model Context Protocol (MCP) Ecosystem [16.610726885457847]
  Model Context Protocol(MCP)は、LLM(Large Language Model)アプリケーションと外部ツールやリソースとのシームレスな相互作用を可能にするために設計された新しい標準である。 本稿では,MPPエコシステムをターゲットとした攻撃ベクトルのエンド・ツー・エンドの実証評価について述べる。
  論文  参考訳（メタデータ） (2025-05-31T08:01:11Z)
• MCIP: Protecting MCP Safety via Model Contextual Integrity Protocol [47.98229326363512]
  本稿では,モデルコンテキストプロトコルの安全性を高めるための新しいフレームワークを提案する。 MAESTRO フレームワークをベースとして,まず MCP に欠落する安全機構を解析する。 次に、MPPシナリオで観察されるさまざまな安全でない振る舞いをキャプチャする、きめ細かい分類法を開発する。
  論文  参考訳（メタデータ） (2025-05-20T16:41:45Z)
• MCP Safety Audit: LLMs with the Model Context Protocol Allow Major Security Exploits [0.0]
  Model Context Protocol (MCP) は、大規模言語モデル(LLM)、データソース、エージェントツールへのAPI呼び出しを標準化するオープンプロトコルである。 現在のMPP設計はエンドユーザーに幅広いセキュリティリスクをもたらすことを示す。 任意のMPPサーバのセキュリティを評価するために,安全監査ツールであるMPPSafetyScannerを導入する。
  論文  参考訳（メタデータ） (2025-04-02T21:46:02Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。