論文の概要: Toward Understanding Security Issues in the Model Context Protocol Ecosystem

• arxiv url: http://arxiv.org/abs/2510.16558v1
• Date: Sat, 18 Oct 2025 16:09:05 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-25 00:56:39.038054
• Title: Toward Understanding Security Issues in the Model Context Protocol Ecosystem
• Title（参考訳）: モデルコンテキストプロトコルエコシステムにおけるセキュリティ問題の理解に向けて
• Authors: Xiaofan Li, Xing Gao,
• Abstract要約: 本稿では,Model Context Protocolエコシステムの総合的なセキュリティ分析について紹介する。 MCPエコシステムを3つのコアコンポーネント – ホスト,レジストリ,サーバ – に分割する。 攻撃者がサーバーをハイジャックできる幅広い脆弱性を発見しました。
• 参考スコア（独自算出の注目度）: 4.3754423452518205
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: The Model Context Protocol (MCP) is an emerging open standard that enables AI-powered applications to interact with external tools through structured metadata. A rapidly growing ecosystem has formed around MCP, including a wide range of MCP hosts (i.e., Cursor, Windsurf, Claude Desktop, and Cline), MCP registries (i.e., mcp.so, MCP Market, MCP Store, Pulse MCP, Smithery, and npm), and thousands of community-contributed MCP servers. Although the MCP ecosystem is gaining traction, there has been little systematic study of its architecture and associated security risks. In this paper, we present the first comprehensive security analysis of the MCP ecosystem. We decompose MCP ecosystem into three core components: hosts, registries, and servers, and study the interactions and trust relationships among them. Users search for servers on registries and configure them in the host, which translates LLM-generated output into external tool invocations provided by the servers and executes them. Our qualitative analysis reveals that hosts lack output verification mechanisms for LLM-generated outputs, enabling malicious servers to manipulate model behavior and induce a variety of security threats, including but not limited to sensitive data exfiltration. We uncover a wide range of vulnerabilities that enable attackers to hijack servers, due to the lack of a vetted server submission process in registries. To support our analysis, we collect and analyze a dataset of 67,057 servers from six public registries. Our quantitative analysis demonstrates that a substantial number of servers can be hijacked by attackers. Finally, we propose practical defense strategies for MCP hosts, registries, and users. We responsibly disclosed our findings to affected hosts and registries.
• Abstract（参考訳）: Model Context Protocol(MCP)は、構造化メタデータを通じてAIベースのアプリケーションが外部ツールと対話できるようにする、新たなオープン標準である。 MCP周辺では、幅広いMSPホスト(Cursor、Windsurf、Claude Desktop、Cline)、MSPレジストリ(mcp.so、MPP Market、MPP Store、Pulse MCP、Smithery、npm)、何千ものコミュニティが提供するMSPサーバが急速に成長している。 MCPエコシステムは勢いを増しているが、アーキテクチャと関連するセキュリティリスクに関する体系的な研究はほとんど行われていない。 本稿では,MPPエコシステムの総合的なセキュリティ分析を初めて紹介する。 我々は,MSPエコシステムをホスト,レジストリ,サーバの3つのコアコンポーネントに分解し,それら間のインタラクションと信頼関係について検討する。 ユーザはレジストリ上のサーバを検索してホストに設定し、LLM生成した出力をサーバが提供する外部ツール呼び出しに変換して実行する。 我々の定性的分析により、ホストはLCM出力の出力検証機構が欠如していることが判明し、悪意のあるサーバがモデル動作を操作でき、機密データ抽出に限らず、様々なセキュリティ脅威を誘発できることがわかった。 レジストリに拒否されたサーバの提出プロセスがないため、攻撃者がサーバをハイジャックできる幅広い脆弱性を発見しました。 分析を支援するため、6つのパブリックレジストリから67,057サーバのデータセットを収集し分析した。 我々の定量的分析は、相当数のサーバーが攻撃者によって乗っ取られていることを示している。 最後に,MPPホスト,レジストリ,ユーザに対する実用的な防衛戦略を提案する。 感染したホストや登録者に対して,我々の発見を責任を持って開示した。

関連論文リスト

• Code Agent can be an End-to-end System Hacker: Benchmarking Real-world Threats of Computer-use Agent [64.08182031659047]
  我々は,MITRE ATT&CK Enterprise Matrix において,実世界の TTP に対応する最初のベンチマークである AdvCUA を提案する。 ReAct、AutoGPT、Gemini CLI、Cursor CLIの5つの主要なCUAを評価した。 結果は、現在のフロンティアCUAがOSのセキュリティ中心の脅威を十分にカバーしていないことを示している。
  論文  参考訳（メタデータ） (2025-10-08T03:35:23Z)
• When MCP Servers Attack: Taxonomy, Feasibility, and Mitigation [23.550422942185904]
  モデルコンテキストプロトコル(MCP)サーバは、AIアプリケーションがプラグアンドプレイ方式で外部システムに接続できるようにする。 このようなプレッシャーのかかるリスクにもかかわらず、CPサーバのセキュリティへの影響はいまだ過小評価されている。 MCPサーバをアクティブな脅威アクターとして扱い、それらをコアコンポーネントに分解する最初の体系的な研究を提案する。
  論文  参考訳（メタデータ） (2025-09-29T04:29:58Z)
• We Should Identify and Mitigate Third-Party Safety Risks in MCP-Powered Agent Systems [48.345884334050965]
  MCPが導入した新たな安全リスク問題に細心の注意を払うため, LLMの安全に関する研究コミュニティを提唱する。 MCPによるエージェントシステムの安全性のリスクは本当の脅威であり、その防御は自明なものではないことを実証するために、一連の実験を行った。
  論文  参考訳（メタデータ） (2025-06-16T16:24:31Z)
• Beyond the Protocol: Unveiling Attack Vectors in the Model Context Protocol (MCP) Ecosystem [16.610726885457847]
  Model Context Protocol(MCP)は、LLM(Large Language Model)アプリケーションと外部ツールやリソースとのシームレスな相互作用を可能にするために設計された新しい標準である。 本稿では,MPPエコシステムをターゲットとした攻撃ベクトルのエンド・ツー・エンドの実証評価について述べる。
  論文  参考訳（メタデータ） (2025-05-31T08:01:11Z)
• MCIP: Protecting MCP Safety via Model Contextual Integrity Protocol [47.98229326363512]
  本稿では,モデルコンテキストプロトコルの安全性を高めるための新しいフレームワークを提案する。 MAESTRO フレームワークをベースとして,まず MCP に欠落する安全機構を解析する。 次に、MPPシナリオで観察されるさまざまな安全でない振る舞いをキャプチャする、きめ細かい分類法を開発する。
  論文  参考訳（メタデータ） (2025-05-20T16:41:45Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。