論文の概要: Model Context Protocol Threat Modeling and Analyzing Vulnerabilities to Prompt Injection with Tool Poisoning
- arxiv url: http://arxiv.org/abs/2603.22489v1
- Date: Mon, 23 Mar 2026 18:59:04 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-03-25 19:53:37.15434
- Title: Model Context Protocol Threat Modeling and Analyzing Vulnerabilities to Prompt Injection with Tool Poisoning
- Title(参考訳): ツールポジショニングによるプロンプトインジェクションに対するモデルコンテキストプロトコルの脅威モデリングと脆弱性の解析
- Authors: Charoes Huang, Xin Huang, Ngoc Phu Tran, Amin Milani Fard,
- Abstract要約: モデルコンテキストプロトコル(MCP)は、AIアシスタントを外部ツールやデータソースに接続するための普遍的な標準として急速に登場した。
MCPはAIアプリケーションとさまざまなサービスの統合を単純化するが、特にクライアント側において、重大なセキュリティ脆弱性を導入している。
STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) と DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) フレームワークを用いて,MPP実装の脅威モデリングを行う。
- 参考スコア(独自算出の注目度): 3.010338494398494
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The Model Context Protocol (MCP) has rapidly emerged as a universal standard for connecting AI assistants to external tools and data sources. While MCP simplifies integration between AI applications and various services, it introduces significant security vulnerabilities, particularly on the client side. In this work we conduct threat modelings of MCP implementations using STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) and DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) frameworks across five key components: (1) MCP Host and Client, (2) LLM, (3) MCP Server, (4) External Data Stores, and (5) Authorization Server. This comprehensive analysis reveals tool poisoning-where malicious instructions are embedded in tool metadata-as the most prevalent and impactful client-side vulnerability. We therefore focus our empirical evaluation on this critical attack vector, providing a systematic comparison of how seven major MCP clients validate and defend against tool poisoning attacks. Our analysis reveals significant security issues with most tested clients due to insufficient static validation and parameter visibility. We propose a multi-layered defense strategy encompassing static metadata analysis, model decision path tracking, behavioral anomaly detection, and user transparency mechanisms. This research addresses a critical gap in MCP security, which has primarily focused on server-side vulnerabilities, and provides actionable recommendations and mitigation strategies for securing AI agent ecosystems.
- Abstract(参考訳): モデルコンテキストプロトコル(MCP)は、AIアシスタントを外部ツールやデータソースに接続するための普遍的な標準として急速に登場した。
MCPはAIアプリケーションとさまざまなサービスの統合を単純化するが、特にクライアント側において、重大なセキュリティ脆弱性を導入している。
本研究では, STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) と DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) フレームワークを,(1) MCP Host and Client, (2) LLM, (3) MCP Server, (4) 外部データストア,(5) 認証サーバの5つの主要なコンポーネントにまたがって, MCP実装の脅威モデリングを行う。
この包括的な分析は、ツールのメタデータに悪意のある命令が埋め込まれているツール中毒が、最も一般的で影響のあるクライアントサイドの脆弱性であることを示している。
そこで我々は,この致命的な攻撃ベクトルに着目し,主要なMCPクライアント7社がどのようにツール中毒攻撃を検証し,防御しているかを体系的に比較した。
我々の分析では、静的検証とパラメータの可視性が不十分なため、ほとんどのテスト済みクライアントで重大なセキュリティ問題が発生している。
本稿では,静的メタデータ解析,モデル決定経路追跡,行動異常検出,ユーザ透明性機構を含む多層防衛戦略を提案する。
この研究は、主にサーバー側の脆弱性に焦点を当て、AIエージェントエコシステムを保護するための実行可能なレコメンデーションと緩和戦略を提供するMBPセキュリティにおける重要なギャップに対処する。
関連論文リスト
- OMNI-LEAK: Orchestrator Multi-Agent Network Induced Data Leakage [59.3826294523924]
オーケストレータ設定として知られる,一般的なマルチエージェントパターンのセキュリティ脆弱性について検討する。
本報告では,フロンティアモデルの攻撃カテゴリに対する感受性を報告し,推論モデルと非推論モデルの両方が脆弱であることが確認された。
論文 参考訳(メタデータ) (2026-02-13T21:32:32Z) - An Empirical Study on the Security Vulnerabilities of GPTs [48.12756684275687]
GPTは、OpenAIの大規模言語モデルに基づいた、カスタマイズされたAIエージェントの一種である。
本稿では,GPTのセキュリティ脆弱性に関する実証的研究について述べる。
論文 参考訳(メタデータ) (2025-11-28T13:30:25Z) - MCPGuard : Automatically Detecting Vulnerabilities in MCP Servers [16.620755774987774]
Model Context Protocol(MCP)は、LLM(Large Language Models)と外部データソースとツールのシームレスな統合を可能にする標準化されたインターフェースとして登場した。
本稿では,3つの主要な脅威カテゴリを識別し,MCPベースのシステムのセキュリティ状況を体系的に解析する。
論文 参考訳(メタデータ) (2025-10-27T05:12:51Z) - A Systematic Survey of Model Extraction Attacks and Defenses: State-of-the-Art and Perspectives [65.3369988566853]
近年の研究では、敵が対象モデルの機能を複製できることが示されている。
モデル抽出攻撃は知的財産権、プライバシー、システムのセキュリティに脅威をもたらす。
本稿では,攻撃機構,防衛手法,計算環境に応じてMEAを分類する新しい分類法を提案する。
論文 参考訳(メタデータ) (2025-08-20T19:49:59Z) - Systematic Analysis of MCP Security [13.801464032236481]
Model Context Protocol(MCP)は、AIエージェントが外部ツールとシームレスに接続できるようにする普遍的な標準として登場した。
MCPはツール・ポジティング・アタック(TPA)のような重大な脆弱性を導入している。
MCPアタックライブラリ (MCPLIB) は, 4つの主要な分類の下で31の異なる攻撃手法を分類・実装する。
論文 参考訳(メタデータ) (2025-08-18T00:23:41Z) - MCPSecBench: A Systematic Security Benchmark and Playground for Testing Model Context Protocols [7.10162765778832]
本研究は,4つの主要な攻撃面にわたる17種類の攻撃タイプを同定し,MCPセキュリティの最初の系統分類を提示する。
MCPSecBenchは、プロンプトデータセット、MPPサーバ、MPPクライアント、アタックスクリプト、プロテクションメカニズムを統合した総合的なセキュリティベンチマークとグラウンドである。
論文 参考訳(メタデータ) (2025-08-17T11:49:16Z) - OpenAgentSafety: A Comprehensive Framework for Evaluating Real-World AI Agent Safety [58.201189860217724]
OpenAgentSafetyは,8つの危機リスクカテゴリにまたがるエージェントの動作を評価する包括的なフレームワークである。
従来の作業とは異なり、我々のフレームワークは、Webブラウザ、コード実行環境、ファイルシステム、bashシェル、メッセージングプラットフォームなど、実際のツールと対話するエージェントを評価します。
ルールベースの分析とLSM-as-judgeアセスメントを組み合わせることで、過度な行動と微妙な不安全行動の両方を検出する。
論文 参考訳(メタデータ) (2025-07-08T16:18:54Z) - MCIP: Protecting MCP Safety via Model Contextual Integrity Protocol [47.98229326363512]
本稿では,モデルコンテキストプロトコルの安全性を高めるための新しいフレームワークを提案する。
MAESTRO フレームワークをベースとして,まず MCP に欠落する安全機構を解析する。
次に、MPPシナリオで観察されるさまざまな安全でない振る舞いをキャプチャする、きめ細かい分類法を開発する。
論文 参考訳(メタデータ) (2025-05-20T16:41:45Z) - MCP Guardian: A Security-First Layer for Safeguarding MCP-Based AI System [0.0]
MCPガーディアンは、認証、レート制限、ロギング、トレース、Web Application Firewall(WAF)スキャンによるMPPベースの通信を強化するフレームワークである。
弊社のアプローチは、AIアシスタントのためのセキュアでスケーラブルなデータアクセスを促進する。
論文 参考訳(メタデータ) (2025-04-17T08:49:10Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。