論文の概要: WebMCP Tool Surface Poisoning: Runtime Manipulation Attacks on LLM Agents

• arxiv url: http://arxiv.org/abs/2606.06387v1
• Date: Thu, 04 Jun 2026 16:52:43 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-06-05 22:39:44.976325
• Title: WebMCP Tool Surface Poisoning: Runtime Manipulation Attacks on LLM Agents
• Title（参考訳）: WebMCP Tool Surface Poisoning: LLMエージェント上での実行時操作攻撃
• Authors: Lin-Fa Lee, Yi-Yu Chang, Chia-Mu Yu, Kuo-Hui Yeh,
• Abstract要約: 攻撃者がサードパーティスクリプトを利用して、アクティブセッション中に悪意のあるツールを注入する、新たな脅威であるMid-Session Tool Injection (MSTI)を特定します。 Tool Hijackingは、AbortSignal APIやツール登録時のレース条件などのメカニズムを通じて、エージェントが見えるツールセットを変更する。 Tool Framingは、ツール名、記述、readOnlyHint、入出力といったフィールドを通じて、エージェントのツールロールに対する認識に影響を与える。
• 参考スコア（独自算出の注目度）: 7.6757713078041725
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: WebMCP is a newly emerging protocol that enables websites to expose tools directly to AI agents, bypassing traditional user interfaces and introducing new security risks. The dynamic exposure of agent-accessible tools in WebMCP expands the attack surface of web sessions, especially when third-party scripts are involved. In this study, we identify a new potential threat, termed Mid-Session Tool Injection (MSTI), in which attackers leverage third-party scripts to inject malicious tools during an active session. To better characterize this threat, we classify MSTI based on the stage and target of manipulation, distinguishing between Tool Hijacking and Tool Framing. Tool Hijacking modifies the set of tools visible to the agent through mechanisms such as the AbortSignal API or race conditions during tool registration. In contrast, Tool Framing influences the agent's perception of tool roles through metadata fields such as tool name, description, readOnlyHint, and inputSchema. Our implementation demonstrates that both Tool Hijacking and Tool Framing can successfully disrupt the intended functionality of WebMCP. Based on these results, we outline potential mitigation directions and provide security design recommendations for WebMCP, including binding tool identity to its origin, ensuring lifecycle consistency, enforcing data boundaries for third-party tools, and maintaining traceable logs of tool registration and invocation. These findings indicate that MSTI arises from WebMCP's unique tool lifecycle and structured metadata, making the tool surface itself an emerging security concern.
• Abstract（参考訳）: WebMCPは、WebサイトがAIエージェントに直接ツールを公開し、従来のユーザインターフェースをバイパスし、新たなセキュリティリスクを導入することを可能にする、新たなプロトコルである。 WebMCPにおけるエージェントアクセス可能なツールの動的な露出は、特にサードパーティスクリプトが関与する場合、Webセッションのアタックサーフェスを拡張する。 本研究では、攻撃者が第三者スクリプトを利用して、アクティブセッション中に悪意あるツールを注入する、MSTI(Mid-Session Tool Injection)と呼ばれる新たな脅威を特定する。 この脅威をより正確に識別するために、我々は、ツール・ハイジャックとツール・フラーミングを区別して、操作のステージとターゲットに基づいてMSTIを分類する。 Tool Hijackingは、AbortSignal APIやツール登録時のレース条件などのメカニズムを通じて、エージェントが見えるツールセットを変更する。 これとは対照的に、ツールフレイミングは、ツール名、記述、readOnlyHint、inputSchemaといったメタデータフィールドを通じて、エージェントのツールロールに対する認識に影響を与える。 我々の実装は、ツール・ハイジャックとツール・フラーミングの両方がWebMCPの意図した機能をうまく破壊できることを示した。 これらの結果に基づき、WebMCPの潜在的な緩和方向を概説し、その起源に対するバインディングツールアイデンティティー、ライフサイクルの整合性の確保、サードパーティツールのデータバウンダリの強化、ツール登録と呼び出しのトレース可能なログの維持など、セキュリティ設計の推奨事項をWebMCPに提示する。 これらの結果は、MSTIがWebMCPのユニークなツールライフサイクルと構造化メタデータから発生し、ツール自体が新たなセキュリティ上の懸念を生じさせていることを示唆している。

関連論文リスト

• ShieldNet: Network-Level Guardrails against Emerging Supply-Chain Injections in Agentic Systems [56.613157564882925]
  悪意のある行動は、一見良心的なツールに埋め込まれ、エージェントの実行を静かにハイジャックしたり、機密データをリークしたり、無許可のアクションをトリガーしたりする。 影響は拡大しているが、このような脅威を評価するための包括的なベンチマークは今のところ存在しない。 実ネットワークの相互作用を観測してサプライチェーン中毒を検出するネットワークレベルのガードレールフレームワークであるShieldNetを提案する。
  論文  参考訳（メタデータ） (2026-04-06T05:15:00Z)
• MalTool: Malicious Tool Attacks on LLM Agents [52.01975462609959]
  MalToolはLLMベースのフレームワークで、特定の悪意のある振る舞いを示すツールを合成する。 MalTool は LLM のコーディングが安全に対応している場合でも非常に有効であることを示す。
  論文  参考訳（メタデータ） (2026-02-12T17:27:43Z)
• MCP-ITP: An Automated Framework for Implicit Tool Poisoning in MCP [22.063867518456743]
  暗黙のツール中毒では、ツールメタデータに埋め込まれた悪意のある命令が、モデルコンテキストプロトコル(MCP)登録フェーズ中にエージェントコンテキストに注入される。 MCPエコシステム内での暗黙のツール中毒に対する最初の自動化および適応型フレームワークであるMPP-ITPを提案する。
  論文  参考訳（メタデータ） (2026-01-12T10:28:46Z)
• ToolTweak: An Attack on Tool Selection in LLM-based Agents [52.17181489286236]
  対戦相手は,特定のツールの選択に対して,エージェントを体系的にバイアスし,等しく有能な代替手段に対して不公平な優位性を得ることができることを示す。 提案するToolTweakは,ベースラインの20%程度から最大81%までの選択率を向上する,軽量自動攻撃である。 これらのリスクを軽減するために、パラフレージングとパープレキシティ・フィルタリングという2つの防御効果を評価し、バイアスを低減し、エージェントが機能的に類似したツールをより平等に選択できるようにする。
  論文  参考訳（メタデータ） (2025-10-02T20:44:44Z)
• Attractive Metadata Attack: Inducing LLM Agents to Invoke Malicious Tools [10.086284534400658]
  大規模言語モデル(LLM)エージェントは、外部ツールを活用することで複雑な推論と意思決定において顕著な能力を示した。 我々はこれを、悪意のあるツールをLLMエージェントによって優先的に選択できる、新しくてステルスな脅威サーフェスとして認識する。 我々は,非常に魅力的だが構文的かつ意味論的に有効なツールメタデータを生成するブラックボックス・イン・コンテキスト学習フレームワークを提案する。
  論文  参考訳（メタデータ） (2025-08-04T06:38:59Z)
• Prompt Injection Attack to Tool Selection in LLM Agents [60.95349602772112]
  一般的なアプローチは、与えられたタスクに対してツールライブラリから最も適切なツールを選択するための2段階のプロセス(式と例選択)に従う。 本研究では、no-boxシナリオにおける新しいプロンプトインジェクション攻撃ツール選択であるtextitToolHijackerを紹介する。
  論文  参考訳（メタデータ） (2025-04-28T13:36:43Z)
• From Allies to Adversaries: Manipulating LLM Tool-Calling through Adversarial Injection [11.300387488829035]
  ツールコールは、外部ツールを統合することで、LLM(Large Language Model)アプリケーションを変更した。 本稿では,LDMツールコールシステムの脆弱性を利用した対向型ツールインジェクションによる新しいフレームワークであるToolCommanderを提案する。
  論文  参考訳（メタデータ） (2024-12-13T15:15:24Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。