論文の概要: VIPER-MCP: Detecting and Exploiting Taint-Style Vulnerabilities in Model Context Protocol Servers

• arxiv url: http://arxiv.org/abs/2605.21392v1
• Date: Wed, 20 May 2026 16:46:51 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-05-21 19:19:56.792306
• Title: VIPER-MCP: Detecting and Exploiting Taint-Style Vulnerabilities in Model Context Protocol Servers
• Title（参考訳）: VIPER-MCP:モデルコンテキストプロトコルサーバにおけるテイントスタイル脆弱性の検出とエクスプロイト
• Authors: Pengyu Sun, Qishu Jin, Enhao Huang, Zifeng Kang, Xin Liu, Dakun Shen, Song Li,
• Abstract要約: VIPER-MCPは、MPPサーバ向けの最初のエンドツーエンドの自動脆弱性監査フレームワークである。 テナントスタイルの脆弱性を検出し、具体的な概念実証プロンプトを生成することで、その悪用性を確認する。 VIPER-MCPは39,884のオープンソースのCPサーバーリポジトリを大規模にスキャンし、106の0日間の脆弱性を発見した。
• 参考スコア（独自算出の注目度）: 6.420136372317537
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Model Context Protocol (MCP) has emerged as a standard interface for connecting LLM agents to external tools. Because MCP servers expose privileged operations such as shell execution, network access, and file-system manipulation to agent-driven invocation, implementation flaws in tool handlers can create a direct path from natural-language input to security-sensitive sinks, potentially granting attackers remote code execution or full system compromise. Existing approaches either produce unconfirmed static alerts without dynamic validation, or rely on fixed template libraries that lack code-level guidance and fail to trigger vulnerabilities requiring specific parameter shapes or multi-step taint paths. In this paper, we present VIPER-MCP, the first end-to-end automated vulnerability auditing framework for MCP servers that not only detects taint-style vulnerabilities but also dynamically confirms their exploitability by producing concrete proof-of-concept prompts. VIPER-MCP introduces two novel techniques: (1) an anchor-query pass in a two-pass static analysis strategy that augments standard taint alerts with function-level structural context, resolving file-level static artifacts to specific MCP tool handlers and producing vulnerability-anchored call chains; and (2) a feedback-driven prompt evolution mechanism that employs dual-mutator scheduling that independently corrects tool-selection drift and deepens parameter penetration, together with fitness-scored seed selection to iteratively refine natural-language prompts toward vulnerable sinks. In a large-scale scan of 39,884 real-world open-source MCP server repositories, VIPER-MCP discovered 106 0-day vulnerabilities, all of which were confirmed through end-to-end exploit traces, with 67 CVE IDs assigned to date. We responsibly disclosed all confirmed findings to the affected developers and coordinated CVE assignment where applicable.
• Abstract（参考訳）: Model Context Protocol (MCP) は LLM エージェントを外部ツールに接続するための標準インターフェースとして登場した。 MCPサーバは、シェル実行、ネットワークアクセス、ファイルシステム操作などの特権操作をエージェント駆動の呼び出しに公開しているため、ツールハンドラの実装欠陥は、自然言語入力からセキュリティに敏感なシンクへの直接的なパスを生成することができ、攻撃者がリモートコードの実行やシステム全体の妥協を許す可能性がある。 既存のアプローチでは、動的バリデーションなしで未確認の静的アラートを生成するか、コードレベルのガイダンスがなく、特定のパラメータ形状やマルチステップのテナントパスを必要とする脆弱性をトリガーできない固定されたテンプレートライブラリに依存するかのいずれかだ。 本稿では,MPPサーバにおける最初のエンドツーエンド自動脆弱性監査フレームワークであるVIPER-MCPについて述べる。 VIPER-MCPは,機能レベルの構造的コンテキストによる標準テナント警告の強化と,ファイルレベルの静的アーティファクトを特定のMPPツールハンドラに解決し,脆弱性に対処するコールチェーンを生成する2パス静的解析戦略と,ツール選択のドリフトとパラメータの深度を独立に補正するデュアルミュータレータスケジューリングを利用したフィードバック駆動のプログレッシブ進化機構と,フィットネスマーク付きシード選択と,脆弱なシンクに対する自然言語プロンプトを反復的に洗練する。 VIPER-MCPは39,884の現実世界のオープンソースCPサーバーリポジトリの大規模なスキャンで106の0日間の脆弱性を発見し、いずれもエンドツーエンドのエクスプロイトトレースを通じて確認され、67のCVEIDが割り当てられた。 影響を受ける開発者に対して,確認されたすべての成果を責任を持って開示し,適用可能なCVE割り当てをコーディネートした。

関連論文リスト

• Securing LLM Agents Need Intent-to-Execution Integrity [49.490963596514185]
  我々は, LLMエージェントの確保には, エージェントの実行がユーザの意図を忠実に反映した場合に規定するエンドツーエンドの正当性を定義する必要があると主張している。 LLMエージェントはコンパイラと構造的に類似しており、セキュリティ違反はユーザ意図を保存しない誤った実行に対応する。 emphTool整合性、emph命令整合性、emphJudgment整合性、emphData整合性。
  論文  参考訳（メタデータ） (2026-05-16T12:53:31Z)
• ClawGuard: A Runtime Security Framework for Tool-Augmented LLM Agents Against Indirect Prompt Injection [8.627671856044527]
  textscClawGuardは、すべてのツール呼び出し境界に設定されたユーザ確認ルールを強制する。 textscClawGuardは、モデル修正やインフラストラクチャの変更なしに、3つのインジェクションパスをすべてブロックする。 この研究は、安全なエージェントAIシステムのための効果的な防御メカニズムとして、決定論的ツールコール境界強制を確立する。
  論文  参考訳（メタデータ） (2026-04-13T17:55:11Z)
• T-MAP: Red-Teaming LLM Agents with Trajectory-aware Evolutionary Search [49.99459363244884]
  提案手法は, 対向的プロンプトの発見を導くために, 実行トラジェクトリを利用するトラジェクトリ対応の進化探索手法であるT-MAPを提案する。 本手法は,安全ガードレールをバイパスするだけでなく,実際のツールインタラクションによる有害な目標を確実に実現するための攻撃の自動生成を可能にする。
  論文  参考訳（メタデータ） (2026-03-21T12:33:34Z)
• Towards Verifiably Safe Tool Use for LLM Agents [53.55621104327779]
  大規模言語モデル(LLM)ベースのAIエージェントは、データソース、API、検索エンジン、コードサンドボックス、さらにはその他のエージェントなどのツールへのアクセスを可能にすることで、機能を拡張する。 LLMは意図しないツールインタラクションを起動し、機密データを漏洩したり、クリティカルレコードを上書きしたりするリスクを発生させる。 モデルベースセーフガードのようなリスクを軽減するための現在のアプローチは、エージェントの信頼性を高めるが、システムの安全性を保証することはできない。
  論文  参考訳（メタデータ） (2026-01-12T21:31:38Z)
• Securing the Model Context Protocol: Defending LLMs Against Tool Poisoning and Adversarial Attacks [8.419049623790618]
  本研究は,MPP統合システムに対するセマンティックアタックの3つのクラスを分析する。 ディスクリプタの整合性を強制するためのRSAベースのマニフェスト署名、不審なツール定義を検出するためのLLM-on-LLMセマンティックベッティング、実行時に異常なツール動作をブロックする軽量ガードレールである。 提案手法は, モデル微調整や内部修正を伴わずに, 安全でないツール実行率を低減できることを示す。
  論文  参考訳（メタデータ） (2025-12-06T20:07:58Z)
• The Trojan Knowledge: Bypassing Commercial LLM Guardrails via Harmless Prompt Weaving and Adaptive Tree Search [58.8834056209347]
  大規模言語モデル(LLM)は、有害な出力を誘導するために安全ガードレールをバイパスするジェイルブレイク攻撃に弱いままである。 CKA-Agent(Correlated Knowledge Attack Agent)は、ターゲットモデルの知識基盤の適応的木構造探索としてジェイルブレイクを再構成する動的フレームワークである。
  論文  参考訳（メタデータ） (2025-12-01T07:05:23Z)
• Securing the Model Context Protocol (MCP): Risks, Controls, and Governance [1.4072883206858737]
  我々は、MPPの柔軟性を生かした3種類の敵に焦点を当てる。 早期のインシデントと概念実証攻撃に基づいて,MPPが攻撃面を増加させる方法について述べる。 本稿では,ユーザ単位の認証とスコープ認証を含む,一連の実用的な制御を提案する。
  論文  参考訳（メタデータ） (2025-11-25T23:24:26Z)
• Visual Backdoor Attacks on MLLM Embodied Decision Making via Contrastive Trigger Learning [89.1856483797116]
  MLLMをベースとした組込みエージェントに視覚的バックドアを注入する最初のフレームワークであるBEATを紹介する。 テキストトリガーとは異なり、オブジェクトトリガーは視点や照明の幅が広いため、確実に移植することは困難である。 BEATは攻撃の成功率を最大80%まで達成し、強い良識のあるタスクパフォーマンスを維持します。
  論文  参考訳（メタデータ） (2025-10-31T16:50:49Z)
• MCPGuard : Automatically Detecting Vulnerabilities in MCP Servers [16.620755774987774]
  Model Context Protocol(MCP)は、LLM(Large Language Models)と外部データソースとツールのシームレスな統合を可能にする標準化されたインターフェースとして登場した。 本稿では,3つの主要な脅威カテゴリを識別し,MCPベースのシステムのセキュリティ状況を体系的に解析する。
  論文  参考訳（メタデータ） (2025-10-27T05:12:51Z)
• Mind Your Server: A Systematic Study of Parasitic Toolchain Attacks on the MCP Ecosystem [13.95558554298296]
  大規模言語モデル(LLM)は、モデルコンテキストプロトコル(MCP)を通じて、外部システムとますます統合される。 本稿では,MCP Unintended Privacy Disclosure (MCP-UPD) としてインスタンス化された新たな攻撃方法であるParasitic Toolchain Attacksを明らかにする。 悪意のあるロジックはツールチェーンに侵入し,寄生的取り込み,プライバシコレクション,プライバシ開示という3つのフェーズで展開する。
  論文  参考訳（メタデータ） (2025-09-08T11:35:32Z)
• DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents [52.92354372596197]
  大規模言語モデル(LLM)は、強力な推論と計画能力のため、エージェントシステムの中心となってきています。 この相互作用は、外部ソースからの悪意のある入力がエージェントの振る舞いを誤解させる可能性がある、インジェクション攻撃のリスクも引き起こす。 本稿では,信頼に値するエージェントシステムのための動的ルールベースの分離フレームワークを提案する。
  論文  参考訳（メタデータ） (2025-06-13T05:01:09Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。