論文の概要: Securing the Model Context Protocol (MCP): Risks, Controls, and Governance
- arxiv url: http://arxiv.org/abs/2511.20920v1
- Date: Tue, 25 Nov 2025 23:24:26 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-11-27 18:37:58.892553
- Title: Securing the Model Context Protocol (MCP): Risks, Controls, and Governance
- Title(参考訳): モデルコンテキストプロトコル(MCP)のセキュリティ - リスク、コントロール、ガバナンス
- Authors: Herman Errico, Jiquan Ngiam, Shanita Sojan,
- Abstract要約: 我々は、MPPの柔軟性を生かした3種類の敵に焦点を当てる。
早期のインシデントと概念実証攻撃に基づいて,MPPが攻撃面を増加させる方法について述べる。
本稿では,ユーザ単位の認証とスコープ認証を含む,一連の実用的な制御を提案する。
- 参考スコア(独自算出の注目度): 1.4072883206858737
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The Model Context Protocol (MCP) replaces static, developer-controlled API integrations with more dynamic, user-driven agent systems, which also introduces new security risks. As MCP adoption grows across community servers and major platforms, organizations encounter threats that existing AI governance frameworks (such as NIST AI RMF and ISO/IEC 42001) do not yet cover in detail. We focus on three types of adversaries that take advantage of MCP s flexibility: content-injection attackers that embed malicious instructions into otherwise legitimate data; supply-chain attackers who distribute compromised servers; and agents who become unintentional adversaries by over-stepping their role. Based on early incidents and proof-of-concept attacks, we describe how MCP can increase the attack surface through data-driven exfiltration, tool poisoning, and cross-system privilege escalation. In response, we propose a set of practical controls, including per-user authentication with scoped authorization, provenance tracking across agent workflows, containerized sandboxing with input/output checks, inline policy enforcement with DLP and anomaly detection, and centralized governance using private registries or gateway layers. The aim is to help organizations ensure that unvetted code does not run outside a sandbox, tools are not used beyond their intended scope, data exfiltration attempts are detectable, and actions can be audited end-to-end. We close by outlining open research questions around verifiable registries, formal methods for these dynamic systems, and privacy-preserving agent operations.
- Abstract(参考訳): Model Context Protocol(MCP)は、静的で開発者制御のAPI統合を、よりダイナミックでユーザ主導のエージェントシステムに置き換え、新たなセキュリティリスクも導入する。
MCPの採用がコミュニティサーバや主要プラットフォームで増加するにつれ、組織は既存のAIガバナンスフレームワーク(NIST AI RMFやISO/IEC 42001など)が詳細をカバーしていないという脅威に直面している。
我々は、MPPの柔軟性を生かした3種類の敵に焦点をあてる:悪意のある命令を正当なデータに埋め込んだコンテンツインジェクション攻撃者、妥協したサーバーを配布したサプライチェーン攻撃者、そしてその役割を過度に捉えて意図しない敵となるエージェント。
早期のインシデントと概念実証攻撃に基づいて、MPPがデータ駆動のエミッション、ツール中毒、システム間特権エスカレーションによって攻撃面を増大させる方法について述べる。
そこで本研究では,ユーザ単位の認証とスコープ認証,エージェントワークフロー間のプロファイランストラッキング,入出力チェックによるコンテナ化サンドボックス,DLPと異常検出によるインラインポリシ適用,プライベートレジストリやゲートウェイレイヤを用いた集中管理など,一連の実用的なコントロールを提案する。
目的は、未検証のコードがサンドボックス外で実行されないこと、ツールが意図したスコープを超えて使用されないこと、データ抽出の試みが検出可能であること、アクションをエンドツーエンドで監査できることを保証することにある。
我々は、検証可能なレジストリ、これらの動的システムの正式な方法、プライバシ保護エージェント操作に関するオープンな研究質問をまとめて締めくくります。
関連論文リスト
- MCPGuard : Automatically Detecting Vulnerabilities in MCP Servers [16.620755774987774]
Model Context Protocol(MCP)は、LLM(Large Language Models)と外部データソースとツールのシームレスな統合を可能にする標準化されたインターフェースとして登場した。
本稿では,3つの主要な脅威カテゴリを識別し,MCPベースのシステムのセキュリティ状況を体系的に解析する。
論文 参考訳(メタデータ) (2025-10-27T05:12:51Z) - Adaptive Attacks on Trusted Monitors Subvert AI Control Protocols [80.68060125494645]
プロトコルとモニタモデルを知っている信頼できないモデルによるアダプティブアタックについて検討する。
我々は、攻撃者がモデル出力に公知またはゼロショットプロンプトインジェクションを埋め込む単純な適応攻撃ベクトルをインスタンス化する。
論文 参考訳(メタデータ) (2025-10-10T15:12:44Z) - Malice in Agentland: Down the Rabbit Hole of Backdoors in the AI Supply Chain [82.98626829232899]
自分自身のインタラクションからのデータに対する微調整のAIエージェントは、AIサプライチェーン内の重要なセキュリティ脆弱性を導入している。
敵は容易にデータ収集パイプラインに毒を盛り、検出しにくいバックドアを埋め込むことができる。
論文 参考訳(メタデータ) (2025-10-03T12:47:21Z) - When MCP Servers Attack: Taxonomy, Feasibility, and Mitigation [23.550422942185904]
モデルコンテキストプロトコル(MCP)サーバは、AIアプリケーションがプラグアンドプレイ方式で外部システムに接続できるようにする。
このようなプレッシャーのかかるリスクにもかかわらず、CPサーバのセキュリティへの影響はいまだ過小評価されている。
MCPサーバをアクティブな脅威アクターとして扱い、それらをコアコンポーネントに分解する最初の体系的な研究を提案する。
論文 参考訳(メタデータ) (2025-09-29T04:29:58Z) - Enterprise AI Must Enforce Participant-Aware Access Control [9.68210477539956]
大規模言語モデル(LLM)は、複数のユーザと対話し、センシティブな内部データに基づいてトレーニングあるいは微調整されるエンタープライズ環境に、ますます多くデプロイされている。
敵は、現在の微調整アーキテクチャやRAGアーキテクチャを利用して、アクセス制御の強制力の欠如を活用して機密情報を漏洩することができることを示す。
本稿では, LLM による学習, 検索, 生成に使用されるコンテンツは, インセンティブに関わるユーザに対して明示的に認証される,という原則に基づくフレームワークを提案する。
論文 参考訳(メタデータ) (2025-09-18T04:30:49Z) - Mind Your Server: A Systematic Study of Parasitic Toolchain Attacks on the MCP Ecosystem [13.95558554298296]
大規模言語モデル(LLM)は、モデルコンテキストプロトコル(MCP)を通じて、外部システムとますます統合される。
本稿では,MCP Unintended Privacy Disclosure (MCP-UPD) としてインスタンス化された新たな攻撃方法であるParasitic Toolchain Attacksを明らかにする。
悪意のあるロジックはツールチェーンに侵入し,寄生的取り込み,プライバシコレクション,プライバシ開示という3つのフェーズで展開する。
論文 参考訳(メタデータ) (2025-09-08T11:35:32Z) - Servant, Stalker, Predator: How An Honest, Helpful, And Harmless (3H) Agent Unlocks Adversarial Skills [3.0620527758972496]
本稿では,モデルコンテキストプロトコルに基づくエージェントシステムにおいて,新たな脆弱性クラスを特定し,解析する。
このアタックチェーンは、有害な緊急行動を生み出すために、個々に認可された個々のタスクをどのように編成するかを説明し、実証する。
論文 参考訳(メタデータ) (2025-08-27T01:11:59Z) - BlindGuard: Safeguarding LLM-based Multi-Agent Systems under Unknown Attacks [58.959622170433725]
BlindGuardは、攻撃固有のラベルや悪意のある振る舞いに関する事前の知識を必要とせずに学習する、教師なしの防御方法である。
BlindGuardはマルチエージェントシステムにまたがる多様な攻撃タイプ(即時注入、メモリ中毒、ツール攻撃)を効果的に検出する。
論文 参考訳(メタデータ) (2025-08-11T16:04:47Z) - DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents [52.92354372596197]
大規模言語モデル(LLM)は、強力な推論と計画能力のため、エージェントシステムの中心となってきています。
この相互作用は、外部ソースからの悪意のある入力がエージェントの振る舞いを誤解させる可能性がある、インジェクション攻撃のリスクも引き起こす。
本稿では,信頼に値するエージェントシステムのための動的ルールベースの分離フレームワークを提案する。
論文 参考訳(メタデータ) (2025-06-13T05:01:09Z) - CANTXSec: A Deterministic Intrusion Detection and Prevention System for CAN Bus Monitoring ECU Activations [53.036288487863786]
物理ECUアクティベーションに基づく最初の決定論的侵入検知・防止システムであるCANTXSecを提案する。
CANバスの古典的な攻撃を検知・防止し、文献では調査されていない高度な攻撃を検知する。
物理テストベッド上での解法の有効性を実証し,攻撃の両クラスにおいて100%検出精度を達成し,100%のFIAを防止した。
論文 参考訳(メタデータ) (2025-05-14T13:37:07Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。