論文の概要: Attested Tool-Server Admission: A Security Extension to the Model Context Protocol

• arxiv url: http://arxiv.org/abs/2605.24248v1
• Date: Fri, 22 May 2026 21:52:51 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-05-26 19:50:17.774652
• Title: Attested Tool-Server Admission: A Security Extension to the Model Context Protocol
• Title（参考訳）: Attested Tool-Server Admission: Model Context Protocolのセキュリティ拡張
• Authors: Alfredo Metere,
• Abstract要約: Model Context Protocol(MCP)は、大規模言語モデル(LLM)エージェントと外部ツールサーバがメッセージ交換を行う方法の標準化である。 EnclawedエージェントはGoogleの外部操作型MPPサーバを安全に使用することができる。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The Model Context Protocol (MCP) standardizes how a large-language-model (LLM) agent and an external tool server exchange messages, but not trust: a host reads a server's self-declared tool list and dispatches calls, with no notion of which servers it may use, at what sensitivity, or which of a server's tools are in bounds. This work grew out of a concrete need -- letting the Enclawed agent use Google's externally-operated MCP servers (Gmail, Calendar, Drive) safely, admitting the server and bounding the tools it may drive, without changing MCP or Enclawed's own tool application-programming interface (API). The mechanism we built, mcp-attested (shipped in both the open enclawed-oss distribution and the enclaved flavor), generalizes: the gap that makes an unmediated third-party connection unsafe for one user makes a regulated deployment impossible to accredit. We close it with three additive mechanisms: (1) a small, offline-signed clearance assertion a server publishes at a well-known Uniform Resource Identifier (URI) and a host verifies against a pinned trust root before any tool dispatch; (2) a deny-by-default per-server tool allowlist, so admitting a server is not trusting its every tool; and (3) a flavor-gated enforcement mode that turns the checks from warnings into hard denials, with every decision written to a tamper-evident audit log. We give the wire format, the verification algorithm, a security analysis, and an LLM-driven adversarial evaluation; we then state the design in normative Request-for-Comments (RFC 2119) form -- schema, verification rules, error registry, well-known registration, and machine-checkable conformance vectors -- so it can be adopted as an MCP addendum rather than reinvented. An unextended host ignores the well-known document and behaves exactly as today.
• Abstract（参考訳）: Model Context Protocol (MCP)は、大規模な言語モデル(LLM)エージェントと外部ツールサーバがメッセージの交換を行うが、信頼できない方法を標準化している。 EnclawedエージェントはGoogleの外部操作型MPPサーバ(Gmail、Calendar、Drive)を安全に使用し、MSPやEnclawed独自のツールプログラミングインターフェース(API)を変更することなく、サーバを許可し、実行する可能性のあるツールを拘束する。 私たちが構築したmcp-attested(オープンなエンクロードオース分布とエンクロードフレーバーの両方に同梱される)メカニズムは、次のように一般化します。 1) サーバがよく知られたUniform Resource Identifier (URI) で発行する小さなオフライン署名のクリアランスアサーションと、ホストがツールディスパッチの前にピン留めされた信頼ルートに対して検証する(2) サーバがすべてのツールを信頼していないことを拒否バイデフォルトのサーバツール許容リスト、(3) 警告から厳しい否定へとチェックを変換するフレーバー付き強制モードである。 我々は、ワイヤフォーマット、検証アルゴリズム、セキュリティ分析、LLM駆動の敵評価を行い、その設計を標準のRequest-for-Comments(RFC 2119)形式 -- スキーマ、検証ルール、エラーレジストリ、よく知られた登録、マシンチェック可能な適合ベクトル -- で記述する。 拡張されていないホストはよく知られたドキュメントを無視し、今日と同じように振る舞う。

関連論文リスト

• VIPER-MCP: Detecting and Exploiting Taint-Style Vulnerabilities in Model Context Protocol Servers [6.420136372317537]
  VIPER-MCPは、MPPサーバ向けの最初のエンドツーエンドの自動脆弱性監査フレームワークである。 テナントスタイルの脆弱性を検出し、具体的な概念実証プロンプトを生成することで、その悪用性を確認する。 VIPER-MCPは39,884のオープンソースのCPサーバーリポジトリを大規模にスキャンし、106の0日間の脆弱性を発見した。
  論文  参考訳（メタデータ） (2026-05-20T16:46:51Z)
• Securing LLM Agents Need Intent-to-Execution Integrity [49.490963596514185]
  我々は, LLMエージェントの確保には, エージェントの実行がユーザの意図を忠実に反映した場合に規定するエンドツーエンドの正当性を定義する必要があると主張している。 LLMエージェントはコンパイラと構造的に類似しており、セキュリティ違反はユーザ意図を保存しない誤った実行に対応する。 emphTool整合性、emph命令整合性、emphJudgment整合性、emphData整合性。
  論文  参考訳（メタデータ） (2026-05-16T12:53:31Z)
• ClawGuard: A Runtime Security Framework for Tool-Augmented LLM Agents Against Indirect Prompt Injection [8.627671856044527]
  textscClawGuardは、すべてのツール呼び出し境界に設定されたユーザ確認ルールを強制する。 textscClawGuardは、モデル修正やインフラストラクチャの変更なしに、3つのインジェクションパスをすべてブロックする。 この研究は、安全なエージェントAIシステムのための効果的な防御メカニズムとして、決定論的ツールコール境界強制を確立する。
  論文  参考訳（メタデータ） (2026-04-13T17:55:11Z)
• ShieldNet: Network-Level Guardrails against Emerging Supply-Chain Injections in Agentic Systems [56.613157564882925]
  悪意のある行動は、一見良心的なツールに埋め込まれ、エージェントの実行を静かにハイジャックしたり、機密データをリークしたり、無許可のアクションをトリガーしたりする。 影響は拡大しているが、このような脅威を評価するための包括的なベンチマークは今のところ存在しない。 実ネットワークの相互作用を観測してサプライチェーン中毒を検出するネットワークレベルのガードレールフレームワークであるShieldNetを提案する。
  論文  参考訳（メタデータ） (2026-04-06T05:15:00Z)
• Bridging Protocol and Production: Design Patterns for Deploying AI Agents with Model Context Protocol [0.0]
  Model Context Protocol(MCP)は、AIエージェントが外部ツールを発見して呼び出す方法を標準化する。 アイデンティティの伝搬、アダプティブツールの予算化、構造化エラーセマンティクスの3つのプロトコルレベルのプリミティブがまだ欠けている。 本稿では,大手クラウドプロバイダのMPPサーバと統合されたAIエージェントプラットフォームの企業展開から,現場での授業を通じて,これらのギャップを識別する。
  論文  参考訳（メタデータ） (2026-03-12T17:42:24Z)
• ToolRosetta: Bridging Open-Source Repositories and Large Language Model Agents through Automated Tool Standardization [51.92237664440418]
  ToolRosettaは、オープンソースのコードリポジトリとAPIを自動的にMPP互換のツールに変換するフレームワークである。 ユーザタスクが与えられた場合、ToolRosettaはツールチェーンを自律的に計画し、関連するツールチェーンを特定し、実行可能なMPPサービスに変換する。
  論文  参考訳（メタデータ） (2026-03-10T07:19:43Z)
• MCPShield: A Security Cognition Layer for Adaptive Trust Calibration in Model Context Protocol Agents [39.267334469481916]
  我々は,MPPベースのツールを呼び出す際に,エージェントのセキュリティを保証するプラグインセキュリティ認知層としてMPPShieldを提案する。 我々の研究は、オープンエージェントエコシステムにおけるMPPベースのツール呼び出しに対して、実用的で堅牢なセキュリティ保護を提供します。
  論文  参考訳（メタデータ） (2026-02-15T19:10:00Z)
• MalTool: Malicious Tool Attacks on LLM Agents [52.01975462609959]
  MalToolはLLMベースのフレームワークで、特定の悪意のある振る舞いを示すツールを合成する。 MalTool は LLM のコーディングが安全に対応している場合でも非常に有効であることを示す。
  論文  参考訳（メタデータ） (2026-02-12T17:27:43Z)
• OS-Harm: A Benchmark for Measuring Safety of Computer Use Agents [60.78202583483591]
  コンピュータ使用エージェントの安全性を計測する新しいベンチマークであるOS-Harmを紹介する。 OS-HarmはOSWorld環境上に構築されており、故意のユーザ誤用、インジェクション攻撃、モデル誤動作の3つのカテゴリでモデルをテストすることを目指している。 我々は、フロンティアモデルに基づいてコンピュータ利用エージェントを評価し、その安全性に関する洞察を提供する。
  論文  参考訳（メタデータ） (2025-06-17T17:59:31Z)
• HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
  信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。 低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。 私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
  論文  参考訳（メタデータ） (2024-01-17T00:56:23Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。