論文の概要: From Component Manipulation to System Compromise: Understanding and Detecting Malicious MCP Servers
- arxiv url: http://arxiv.org/abs/2604.01905v1
- Date: Thu, 02 Apr 2026 11:22:07 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-03 14:21:10.702422
- Title: From Component Manipulation to System Compromise: Understanding and Detecting Malicious MCP Servers
- Title(参考訳): コンポーネント操作からシステム妥協へ:悪意のあるMSPサーバの理解と検出
- Authors: Yiheng Huang, Zhijia Zhao, Bihuan Chen, Susheng Wu, Zhuotong Zhou, Yiheng Cao, Xin Hu, Xin Peng,
- Abstract要約: 本研究は、悪意のあるMPPサーバの理解と検出のためのコンポーネント中心の視点を示す。
我々は、114の悪意あるMPPサーバからなる最初のPoCデータセットを構築し、MPPコンポーネントとその構成に対する操作として攻撃を行う。
悪意のあるMPPサーバのための2段階の行動偏差検出器であるConnorを提案し,実装する。
- 参考スコア(独自算出の注目度): 10.040414071765781
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: The model context protocol (MCP) standardizes how LLMs connect to external tools and data sources, enabling faster integration but introducing new attack vectors. Despite the growing adoption of MCP, existing MCP security studies classify attacks by their observable effects, obscuring how attacks behave across different MCP server components and overlooking multi-component attack chains. Meanwhile, existing defenses are less effective when facing multi-component attacks or previously unknown malicious behaviors. This work presents a component-centric perspective for understanding and detecting malicious MCP servers. First, we build the first component-centric PoC dataset of 114 malicious MCP servers where attacks are achieved as manipulation over MCP components and their compositions. We evaluate these attacks' effectiveness across two MCP hosts and five LLMs, and uncover that (1) component position shapes attack success rate; and (2) multi-component compositions often outperform single-component attacks by distributing malicious logic. Second, we propose and implement Connor, a two-stage behavioral deviation detector for malicious MCP servers. It first performs pre-execution analysis to detect malicious shell commands and extract each tool's function intent, and then conducts step-wise in-execution analysis to trace each tool's behavioral trajectories and detect deviations from its function intent. Evaluation on our curated dataset indicates that Connor achieves an F1-score of 94.6%, outperforming the state of the art by 8.9% to 59.6%. In real-world detection, Connor identifies two malicious servers.
- Abstract(参考訳): モデルコンテキストプロトコル(MCP)は、LCMが外部ツールやデータソースと接続する方法を標準化し、より高速な統合を可能にすると同時に、新たな攻撃ベクトルを導入する。
MCPの採用が増加しているにもかかわらず、既存のMCPセキュリティ研究は、監視可能な効果によって攻撃を分類し、異なるMSPサーバーコンポーネント間での攻撃の振る舞いを隠蔽し、マルチコンポーネントの攻撃チェーンを見渡す。
一方、既存の防御策は、マルチコンポーネント攻撃や以前未知の悪意のある行動に直面する場合、効果が低い。
本研究は、悪意のあるMPPサーバの理解と検出のためのコンポーネント中心の視点を示す。
まず、悪意のある114のMPPサーバで最初のコンポーネント中心のPoCデータセットを構築し、MPPコンポーネントとその構成に対する操作として攻撃を行う。
これらの攻撃の有効性を2つのMPPホストと5つのLCMで評価し、(1)コンポーネント位置形状が成功率を攻撃すること、(2)悪意のあるロジックを分散することにより、複数のコンポーネント構成がシングルコンポーネント攻撃より優れていることを明らかにする。
第2に、悪意のあるMPPサーバのための2段階の行動偏差検出器であるConnorを提案し、実装する。
まず、悪意のあるシェルコマンドを検出し、各ツールの機能意図を抽出し、次に、各ツールの行動軌跡を追跡し、その機能意図から逸脱を検出するステップワイドな実行分析を実行する。
得られたデータセットから、コナーは94.6%のF1スコアを達成し、最先端の8.9%から59.6%を上回りました。
現実世界の検知では、Connorは2つの悪意のあるサーバーを識別する。
関連論文リスト
- When Actions Go Off-Task: Detecting and Correcting Misaligned Actions in Computer-Use Agents [50.5814495434565]
この研究は、コンピュータ利用エージェント(CUA)における不整合検出を定義し、研究する最初の試みである。
実世界のCUAデプロイメントにおける3つの一般的なカテゴリを特定し、人間の注釈付きアクションレベルのアライメントラベルを用いたリアルな軌跡のベンチマークであるMisActBenchを構築した。
本稿では,実行前に不整合を検知し,構造化されたフィードバックによって繰り返し修正する,実用的で普遍的なガードレールであるDeActionを提案する。
論文 参考訳(メタデータ) (2026-02-09T18:41:15Z) - MCP Security Bench (MSB): Benchmarking Attacks Against Model Context Protocol in LLM Agents [14.507665159809138]
Model Context Protocol(MCP)は、大規模な言語モデル(LLM)エージェントが外部ツールを発見し、記述し、呼び出す方法を標準化する。
我々は,MSB (MCP Security Benchmark) について述べる。MSB (MCP Security Benchmark) は,LCM エージェントが MCP 固有の攻撃にどの程度抵抗するかを測定する最初のエンドツーエンド評価スイートである。
論文 参考訳(メタデータ) (2025-10-14T07:36:25Z) - Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。
攻撃パラダイムを初期感染と持続性という2つの段階に分類する。
当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
論文 参考訳(メタデータ) (2025-09-19T04:10:52Z) - Beyond the Protocol: Unveiling Attack Vectors in the Model Context Protocol (MCP) Ecosystem [16.610726885457847]
Model Context Protocol(MCP)は、LLM(Large Language Model)アプリケーションと外部ツールやリソースとのシームレスな相互作用を可能にするために設計された新しい標準である。
本稿では,MPPエコシステムをターゲットとした攻撃ベクトルのエンド・ツー・エンドの実証評価について述べる。
論文 参考訳(メタデータ) (2025-05-31T08:01:11Z) - CP-Guard+: A New Paradigm for Malicious Agent Detection and Defense in Collaborative Perception [53.088988929450494]
協調知覚(CP)は、安全で自律的な運転のための有望な方法である。
本稿では,悪意のあるエージェントを機能レベルで効果的に識別する,悪意のあるエージェント検出のための新しいパラダイムを提案する。
また,CP-Guard+と呼ばれる堅牢な防御手法を開発し,良性の表現と悪質な特徴とのマージンを高める。
論文 参考訳(メタデータ) (2025-02-07T12:58:45Z) - Malicious Agent Detection for Robust Multi-Agent Collaborative Perception [52.261231738242266]
多エージェント協調(MAC)知覚は、単エージェント認識よりも敵攻撃に対して脆弱である。
MAC知覚に特異的な反応防御であるMADE(Malicious Agent Detection)を提案する。
我々は、ベンチマーク3DデータセットV2X-simとリアルタイムデータセットDAIR-V2Xで包括的な評価を行う。
論文 参考訳(メタデータ) (2023-10-18T11:36:42Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。