論文の概要: Unsafe by Flow: Uncovering Bidirectional Data-Flow Risks in MCP Ecosystem
- arxiv url: http://arxiv.org/abs/2605.07836v1
- Date: Fri, 08 May 2026 15:03:51 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-11 19:43:39.139881
- Title: Unsafe by Flow: Uncovering Bidirectional Data-Flow Risks in MCP Ecosystem
- Title(参考訳): MCPエコシステムにおける双方向データフローリスクの発見
- Authors: Xinyi Hou, Yanjie Zhao, Haoyu Wang,
- Abstract要約: モデルコンテキストプロトコル(MCP)は、LCMエージェントと外部ツールのインターフェース層として急速に成長しています。
要求制御された引数は機密操作に伝播しうるが、信頼できない外部または機密な内部データが表面化する。
MCP-BiFlowは,MPP対応のエントリポイントリカバリ,プロトコル固有のテナントモデリング,および相互の伝搬解析を中心に構築された静的解析フレームワークである。
- 参考スコア(独自算出の注目度): 8.214897650566494
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Model Context Protocol (MCP) have quickly become the interface layer between LLM agents and external tools, yet they also introduce unsafe data flows that existing analyzers handle poorly. Vulnerabilities manifest in two directions: requester-controlled arguments may propagate to sensitive operations, while untrusted external or sensitive internal data may surface through MCP-visible outputs and subsequently influence host or model behavior. Accurate detection is complicated by the heterogeneous registration and dispatch patterns MCP servers employ, the need for MCP-specific taint semantics, and the fact that bugs often only materialize along complete tool-scoped execution paths. We present MCP-BiFlow, a bidirectional static analysis framework built around MCP-aware entrypoint recovery, protocol-specific taint modeling, and interprocedural propagation analysis. Against a benchmark of 32 confirmed MCP vulnerability cases, MCP-BiFlow identifies 30 (93.8% recall), substantially outperforming CodeQL, Semgrep, Snyk Code, and MCPScan. Across 15,452 real-world MCP server repositories, MCP-BiFlow surfaces 549 overlap-compressed candidate clusters; manual review confirms 118 vulnerability paths in 87 servers, establishing unsafe propagation as a recurring failure mode that resists detection without protocol-aware recovery of both request-side and return-side flows.
- Abstract(参考訳): Model Context Protocol (MCP) はすぐに LLM エージェントと外部ツールのインターフェース層になったが、既存のアナライザがうまく扱えないような安全でないデータフローも導入した。
要求制御された引数は機密操作に伝播し、信頼できない外部または機密な内部データはMPP可視出力を介して表面化し、その後ホストまたはモデル行動に影響を与える。
正確な検出は、MPPサーバが採用している異種登録とディスパッチパターン、MPP固有のテナントセマンティクスの必要性、そしてバグがツールスコープによる完全な実行パスに沿ってのみ実現されるという事実によって複雑である。
MCP-BiFlowは,MPP対応のエントリポイントリカバリ,プロトコル固有テナントモデリング,および相互伝搬解析を中心に構築された双方向静的解析フレームワークである。
確認済みのMBP脆弱性32件のベンチマークに対して、CP-BiFlowは30件(93.8%のリコール)を特定し、CodeQL、Semgrep、Snyk Code、MCPScanを大きく上回っている。
15,452の実際のMSPサーバリポジトリにおいて、MPP-BiFlowは549のオーバーラップ圧縮された候補クラスタをサーフェスしている。
関連論文リスト
- LiveFMBench: Unveiling the Power and Limits of Agentic Workflows in Specification Generation [75.05397479715576]
大規模言語モデル(LLM)とエージェントは有望な進歩を示しているが、その真の能力と失敗モードは未だ不明である。
CプログラムのためのLCMおよびエージェントベースの形式仕様生成に関する、最初の体系的および汚染に配慮した研究を提案する。
論文 参考訳(メタデータ) (2026-05-02T11:31:33Z) - MCP Pitfall Lab: Exposing Developer Pitfalls in MCP Tool Server Security under Multi-Vector Attacks [0.7305019142196584]
MCP Pitfall Labは,開発者の落とし穴を再現可能なシナリオとして運用するプロトコル対応のセキュリティテストフレームワークである。
Pitfall Labは,現実的なマルチベクタ条件下でのMPPツールサーバの実用的,エンドツーエンド評価と強化を可能にする。
論文 参考訳(メタデータ) (2026-04-23T09:39:15Z) - ShieldNet: Network-Level Guardrails against Emerging Supply-Chain Injections in Agentic Systems [56.613157564882925]
悪意のある行動は、一見良心的なツールに埋め込まれ、エージェントの実行を静かにハイジャックしたり、機密データをリークしたり、無許可のアクションをトリガーしたりする。
影響は拡大しているが、このような脅威を評価するための包括的なベンチマークは今のところ存在しない。
実ネットワークの相互作用を観測してサプライチェーン中毒を検出するネットワークレベルのガードレールフレームワークであるShieldNetを提案する。
論文 参考訳(メタデータ) (2026-04-06T05:15:00Z) - Breaking the Protocol: Security Analysis of the Model Context Protocol Specification and Prompt Injection Vulnerabilities in Tool-Integrated LLM Agents [0.0]
Model Context Protocol(MCP)は、大規模言語モデルと外部ツールを統合するデファクトスタンダードとして登場した。
MCPのアーキテクチャ設計において,3つの基本的なプロトコルレベルの脆弱性を特定し,厳密なセキュリティ分析を行った。
この結果から,MPPのセキュリティの弱点は実装固有のものではなくアーキテクチャであり,プロトコルレベルの修復が必要であることが判明した。
論文 参考訳(メタデータ) (2026-01-24T18:40:17Z) - MCP-RiskCue: Can LLM Infer Risk Information From MCP Server System Logs? [3.4468299705073133]
システムログからセキュリティリスクを識別する大規模言語モデルの能力を評価するための,最初の総合ベンチマークを示す。
MCPサーバのリスクの9つのカテゴリを定義し,10の最先端LCMを用いて1,800の合成システムログを生成する。
実験では、小さなモデルではリスクの高いシステムログの検出に失敗することが多く、偽陽性につながることが判明した。
論文 参考訳(メタデータ) (2025-11-08T05:52:53Z) - MCP-Flow: Facilitating LLM Agents to Master Real-World, Diverse and Scaling MCP Tools [58.5971352939562]
大規模言語モデルは、複雑で現実的なタスクを実行するために、ますます外部ツールに依存しています。
既存のMSPリサーチは、少数のサーバーをカバーし、コストのかかる手作業によるキュレーションに依存し、トレーニングサポートが欠如している。
我々は大規模なサーバ発見、データ合成、モデルトレーニングのための自動Webエージェント駆動パイプラインであるMPP-Flowを紹介した。
論文 参考訳(メタデータ) (2025-10-28T10:42:17Z) - Model Context Protocol (MCP) at First Glance: Studying the Security and Maintainability of MCP Servers [16.794115541448758]
Anthropicは2024年後半にこのツールエコシステムを標準化するためにModel Context Protocol (MCP)を導入した。
採用にもかかわらず、MPPのAI駆動の非決定論的制御フローは、持続可能性、セキュリティ、保守性に対する新たなリスクをもたらす。
我々は1,899のオープンソースMPPサーバを評価し,その健全性,セキュリティ,保守性を評価した。
論文 参考訳(メタデータ) (2025-06-16T14:26:37Z) - Backdoor Cleaning without External Guidance in MLLM Fine-tuning [76.82121084745785]
Believe Your Eyes (BYE)は、アテンションエントロピーパターンを自己教師信号として活用して、バックドアサンプルを特定してフィルタリングするデータフィルタリングフレームワークである。
クリーンタスクのパフォーマンスを維持しながら、ほぼゼロの攻撃成功率を達成する。
論文 参考訳(メタデータ) (2025-05-22T17:11:58Z) - Towards Semantic Communication Protocols: A Probabilistic Logic
Perspective [69.68769942563812]
我々は,NPMを確率論理型言語ProbLogで記述された解釈可能なシンボルグラフに変換することによって構築された意味プロトコルモデル(SPM)を提案する。
その解釈性とメモリ効率を利用して、衝突回避のためのSPM再構成などのいくつかの応用を実演する。
論文 参考訳(メタデータ) (2022-07-08T14:19:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。