論文の概要: A First Measurement Study on Authentication Security in Real-World Remote MCP Servers

• arxiv url: http://arxiv.org/abs/2605.22333v1
• Date: Thu, 21 May 2026 11:22:21 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-05-22 16:35:42.224945
• Title: A First Measurement Study on Authentication Security in Real-World Remote MCP Servers
• Title（参考訳）: 実世界の遠隔MCPサーバにおける認証セキュリティに関する初回測定
• Authors: Huijun Zhou, Xiaohan Zhang, Haozhe Zhang, Haoyang Zhang, Mi Zhang, Min Yang,
• Abstract要約: 実世界の遠隔MPPサーバにおける認証セキュリティに関する最初の測定結果を示す。 7,973台のリモートMPPサーバを特定し、40.55%が認証なしでツールを公開していることがわかった。 以上の結果から,MSPエコシステムにおける広範囲な認証の弱点が明らかとなった。
• 参考スコア（独自算出の注目度）: 19.129045472743034
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The Model Context Protocol (MCP) is emerging as a common interface connecting large language models (LLMs) with external services. Remote deployments are becoming increasingly important as agents connect to user-linked online services, such as social, productivity, and financial services. In such deployments, the authentication boundary between MCP clients and remote servers becomes security-critical, yet remains underexplored. We present the first measurement study of authentication security in real-world remote MCP servers. We identify 7,973 live remote MCP servers, finding that 40.55% expose tools without authentication. Among authenticated servers, OAuth is the dominant authorization mechanism for reaching remote services, and OAuth deployments in the MCP ecosystem commonly exhibit three characteristics: open client environments, dynamic client registration, and delegated authorization. These characteristics distinguish MCP deployments from traditional OAuth and introduce new attack surfaces. Guided by this observation, we derive a taxonomy of authentication flaws comprising three MCP-specific categories and conventional OAuth misconfigurations, for a total of four categories and nine concrete flaw types. To evaluate these flaws at scale, we implement a semi-automated detection framework that combines passive traffic inspection with active dynamic probing. Applying it to 119 testable real-world OAuth-enabled MCP servers, we find that each server exhibits at least one flaw, with a total of 325 flaws identified, among which dynamic client registration flaws affect 96.6% of tested servers. Many of these flaws can lead to sensitive information leakage and account takeover. Through responsible disclosure, we obtained 9 CVE IDs. Our findings expose pervasive authentication weaknesses in the MCP ecosystem and underscore the urgent need for hardened OAuth-based remote deployments.
• Abstract（参考訳）: Model Context Protocol(MCP)は、大きな言語モデル(LLM)と外部サービスとを接続する共通のインターフェースとして登場した。 エージェントがソーシャル、プロダクティビティ、ファイナンシャルサービスなどのユーザリンクされたオンラインサービスに接続するにつれ、リモートデプロイメントの重要性はますます高まっている。 このようなデプロイメントでは、MPPクライアントとリモートサーバ間の認証境界はセキュリティクリティカルになるが、まだ未調査である。 実世界の遠隔MPPサーバにおける認証セキュリティに関する最初の測定結果を示す。 7,973台のリモートMPPサーバを特定し、40.55%が認証なしでツールを公開していることがわかった。 認証されたサーバの中で、OAuthはリモートサービスに到達するための主要な認証メカニズムであり、MPPエコシステムにおけるOAuthデプロイメントは、オープンクライアント環境、動的クライアント登録、デリゲートされた認証の3つの特徴を一般的に示している。 これらの特徴は、CPデプロイメントを従来のOAuthと区別し、新たな攻撃面を導入する。 本研究は, MCP固有の3つのカテゴリと従来のOAuthの誤設定を含む認証欠陥の分類を, 合計4つのカテゴリと9つの具体的な欠陥タイプから導出したものである。 これらの欠陥を大規模に評価するために,パッシブトラフィック検査とアクティブな動的探索を組み合わせた半自動検出フレームワークを実装した。 119のテスト可能な実世界のOAuth対応MPPサーバに適用すると、各サーバに少なくとも1つの欠陥があり、合計325の欠陥が特定され、そのうちの96.6%が動的クライアント登録の欠陥であることがわかった。 これらの欠陥の多くは、機密情報漏洩とアカウントの乗っ取りにつながる可能性がある。 9つのCVEIDが得られた。 以上の結果から,MSPエコシステムにおける広範囲な認証の弱点が明らかとなり,OAuthベースの遠隔デプロイメントの強化の必要性が浮き彫りになった。

関連論文リスト

• VIPER-MCP: Detecting and Exploiting Taint-Style Vulnerabilities in Model Context Protocol Servers [6.420136372317537]
  VIPER-MCPは、MPPサーバ向けの最初のエンドツーエンドの自動脆弱性監査フレームワークである。 テナントスタイルの脆弱性を検出し、具体的な概念実証プロンプトを生成することで、その悪用性を確認する。 VIPER-MCPは39,884のオープンソースのCPサーバーリポジトリを大規模にスキャンし、106の0日間の脆弱性を発見した。
  論文  参考訳（メタデータ） (2026-05-20T16:46:51Z)
• Give Them an Inch and They Will Take a Mile:Understanding and Measuring Caller Identity Confusion in MCP-Based AI Systems [31.49827652669055]
  発信者の身元を認証することなく、MCPサーバを信頼できるエンティティとして扱うことは、基本的に安全でないことを示す。 ほとんどのMSPサーバは永続的な認証状態に依存しており、再認証なしで初期承認後のツール呼び出しが可能である。 多くのMPPサーバは、ツール単位の認証を強制せず、機密操作への不正アクセスを可能にする。
  論文  参考訳（メタデータ） (2026-03-08T05:24:16Z)
• "MCP Does Not Stand for Misuse Cryptography Protocol": Uncovering Cryptographic Misuse in Model Context Protocol at Scale [27.85822797774986]
  Model Context Protocol (MCP) がツール統合のインターフェースとして登場している。 MCPは、開発者が暗号化自体を実装せざるを得ない、真正性や機密性の保証は提供しない。 MCP実装における暗号誤用を検出するための最初のドメイン固有フレームワークであるYSCOPEを提示する。 我々の研究は、MPPにおける暗号誤用に関する最初のエコシステム全体的見解を確立し、この急速に成長するプロトコルのセキュリティ基盤を強化するためのツールと洞察を提供する。
  論文  参考訳（メタデータ） (2025-12-03T13:25:59Z)
• MCP-Universe: Benchmarking Large Language Models with Real-World Model Context Protocol Servers [86.00932417210477]
  MCP-Universeは,実世界のMPPサーバとのインタラクションを通じて,現実的かつ困難なタスクにおいてLLMを評価するために設計された,初めての総合ベンチマークである。 私たちのベンチマークでは、ロケーションナビゲーション、リポジトリ管理、財務分析、3Dデザイン、ブラウザ自動化、Web検索という、11の異なるMSPサーバにまたがる6つのコアドメインを網羅しています。 GPT-5 (43.72%) やGrok-4 (33.33%) やClaude-4.0-Sonnet (29.44%) のようなSOTAモデルでさえ、大幅な性能制限がある。
  論文  参考訳（メタデータ） (2025-08-20T13:28:58Z)
• MCPSecBench: A Systematic Security Benchmark and Playground for Testing Model Context Protocols [7.10162765778832]
  本研究は,4つの主要な攻撃面にわたる17種類の攻撃タイプを同定し,MCPセキュリティの最初の系統分類を提示する。 MCPSecBenchは、プロンプトデータセット、MPPサーバ、MPPクライアント、アタックスクリプト、プロテクションメカニズムを統合した総合的なセキュリティベンチマークとグラウンドである。
  論文  参考訳（メタデータ） (2025-08-17T11:49:16Z)
• LiveMCPBench: Can Agents Navigate an Ocean of MCP Tools? [50.60770039016318]
  モデルコンテキストプロトコル(MCP)エージェントをベンチマークする最初の総合ベンチマークであるLiveMCPBenchを紹介する。 LiveMCPBenchは、MPPエコシステムに根ざした95の現実世界のタスクで構成されている。 評価は10の先行モデルを対象としており、最高の性能のモデルが78.95%の成功率に達した。
  論文  参考訳（メタデータ） (2025-08-03T14:36:42Z)
• OpenAgentSafety: A Comprehensive Framework for Evaluating Real-World AI Agent Safety [58.201189860217724]
  OpenAgentSafetyは,8つの危機リスクカテゴリにまたがるエージェントの動作を評価する包括的なフレームワークである。 従来の作業とは異なり、我々のフレームワークは、Webブラウザ、コード実行環境、ファイルシステム、bashシェル、メッセージングプラットフォームなど、実際のツールと対話するエージェントを評価します。 ルールベースの分析とLSM-as-judgeアセスメントを組み合わせることで、過度な行動と微妙な不安全行動の両方を検出する。
  論文  参考訳（メタデータ） (2025-07-08T16:18:54Z)
• Model Context Protocol (MCP) at First Glance: Studying the Security and Maintainability of MCP Servers [16.794115541448758]
  Anthropicは2024年後半にこのツールエコシステムを標準化するためにModel Context Protocol (MCP)を導入した。 採用にもかかわらず、MPPのAI駆動の非決定論的制御フローは、持続可能性、セキュリティ、保守性に対する新たなリスクをもたらす。 我々は1,899のオープンソースMPPサーバを評価し,その健全性,セキュリティ,保守性を評価した。
  論文  参考訳（メタデータ） (2025-06-16T14:26:37Z)
• SOPBench: Evaluating Language Agents at Following Standard Operating Procedures and Constraints [59.645885492637845]
  SOPBenchは、各サービス固有のSOPコードプログラムを実行可能な関数の有向グラフに変換する評価パイプラインである。 提案手法では,各サービス固有のSOPコードプログラムを実行可能関数の有向グラフに変換し,自然言語SOP記述に基づいてこれらの関数を呼び出しなければならない。 我々は18の先行モデルを評価し、上位モデルでさえタスクが困難であることを示す。
  論文  参考訳（メタデータ） (2025-03-11T17:53:02Z)
• A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
  コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。 本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。 実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
  論文  参考訳（メタデータ） (2024-01-19T14:52:04Z)
• Robust and Actively Secure Serverless Collaborative Learning [48.01929996757643]
  コラボレーティブ機械学習(ML)は、分散データからより良いモデルを学ぶために広く利用されている。 学習のための協調的なアプローチは、直感的にユーザデータを保護しますが、サーバ、クライアント、あるいはその両方に対して脆弱なままです。 本稿では、悪意のあるサーバに対してセキュアで、悪意のあるクライアントに対して堅牢なピアツーピア学習方式を提案する。
  論文  参考訳（メタデータ） (2023-10-25T14:43:03Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。