論文の概要: "What Happens Locally, Leaks Globally": Detecting Privacy Leakage Risks in MCP Servers
- arxiv url: http://arxiv.org/abs/2606.21338v1
- Date: Fri, 19 Jun 2026 11:35:41 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-25 14:18:16.133742
- Title: "What Happens Locally, Leaks Globally": Detecting Privacy Leakage Risks in MCP Servers
- Title(参考訳): MCPサーバのプライバシ漏洩リスクを検知する「ローカルに発生し、グローバルに漏洩する」
- Authors: Biwei Yan, Minghui Xu, Yijun Yang, Boyang Ma, Xuelong Dai, Jingku Li, Yue Zhang,
- Abstract要約: MCPサーバの漏洩は主にプロトコルによって引き起こされる。
MCPPrivacyDetectorは,そのような漏洩を検出する静的解析フレームワークである。
- 参考スコア(独自算出の注目度): 23.845823085920262
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: The Model Context Protocol (MCP) has rapidly become the de facto standard for connecting large language models (LLMs) to external resources, but it also introduces a class of privacy risks that existing tools are ill-equipped to detect. Unlike conventional exfiltration bugs, leakage in MCP servers is largely protocol-induced: credentials, API keys, and Personally Identifiable Information (PII) cross the local/LLM boundary simply by being returned, logged, or raised inside a tool handler, with no explicit outbound request in the source code. We present MCPPrivacyDetector, a context-aware cross-language static analysis framework that detects such leakage in multilingual MCP servers. MCPPrivacyDetector lifts heterogeneous code implemented across different programming language (e.g., Python) into a unified program representation, applies context-aware semantic filtering to isolate genuinely sensitive values and protocol-specific implicit sinks (e.g., @mcp.tool handlers), and performs taint analysis to enumerate feasible flows. Applied to 10,655 real-world MCP servers, MCPPrivacyDetector finds leakage rates above 10%. Case studies confirm concrete exposures including leaked Bearer tokens, propagated API keys, and plaintext authentication credentials, arguing for systematic, protocol-aware safeguards in the emerging LLM agent toolchain.
- Abstract(参考訳): Model Context Protocol(MCP)は、大規模言語モデル(LLM)を外部リソースに接続するデファクトスタンダードとして急速に普及しているが、既存のツールが検出できないようなプライバシーリスクのクラスも導入している。
認証情報、APIキー、PII(Personally Identible Information)は、ツールハンドラ内で返される、ログされる、あるいは起動されるだけで、ソースコードに明確なアウトバウンド要求がない。
MCPPrivacyDetectorはコンテキスト対応の静的解析フレームワークであり、多言語MSPサーバにおけるそのような漏洩を検出する。
MCPPrivacyDetectorは、異なるプログラミング言語(例えばPython)で実装された異種コードを統一されたプログラム表現に引き上げ、コンテキスト認識セマンティックフィルタリングを適用して、真に機密性の高い値とプロトコル固有の暗黙のシンク(例えば@mcp.toolハンドラ)を分離し、実行可能なフローを列挙する。
10,655の現実世界のMPPサーバに適用すると、CPPrivacyDetectorは10%以上のリーク率を見出す。
ケーススタディでは、リークされたBearerトークン、プロパゲートされたAPIキー、およびプレーンテキスト認証認証を含む具体的な暴露を確認し、新興のLLMエージェントツールチェーンにおける、システマティックでプロトコル対応のセーフガードについて議論している。
関連論文リスト
- When the Manual Lies: A Realistic Benchmark to Evaluate MCP Poisoning Attacks for LLM Agents [43.702131498259384]
本稿では,新しいセマンティックアタックであるTDP(Tool Description Poisoning)を体系的に検討する。
TDPでは、悪意のある命令はツールの実行可能なコードに埋め込まれず、記述的なメタデータに隠蔽的に注入される。
この研究は、TDP用に調整された最初の特別なセキュリティベンチマークを提供し、高度なエージェントシステムの認知層と計画層の確保に不可欠な洞察を提供する。
論文 参考訳(メタデータ) (2026-05-22T08:34:48Z) - VIPER-MCP: Detecting and Exploiting Taint-Style Vulnerabilities in Model Context Protocol Servers [6.420136372317537]
VIPER-MCPは、MPPサーバ向けの最初のエンドツーエンドの自動脆弱性監査フレームワークである。
テナントスタイルの脆弱性を検出し、具体的な概念実証プロンプトを生成することで、その悪用性を確認する。
VIPER-MCPは39,884のオープンソースのCPサーバーリポジトリを大規模にスキャンし、106の0日間の脆弱性を発見した。
論文 参考訳(メタデータ) (2026-05-20T16:46:51Z) - ToolRosetta: Bridging Open-Source Repositories and Large Language Model Agents through Automated Tool Standardization [51.92237664440418]
ToolRosettaは、オープンソースのコードリポジトリとAPIを自動的にMPP互換のツールに変換するフレームワークである。
ユーザタスクが与えられた場合、ToolRosettaはツールチェーンを自律的に計画し、関連するツールチェーンを特定し、実行可能なMPPサービスに変換する。
論文 参考訳(メタデータ) (2026-03-10T07:19:43Z) - "MCP Does Not Stand for Misuse Cryptography Protocol": Uncovering Cryptographic Misuse in Model Context Protocol at Scale [27.85822797774986]
Model Context Protocol (MCP) がツール統合のインターフェースとして登場している。
MCPは、開発者が暗号化自体を実装せざるを得ない、真正性や機密性の保証は提供しない。
MCP実装における暗号誤用を検出するための最初のドメイン固有フレームワークであるYSCOPEを提示する。
我々の研究は、MPPにおける暗号誤用に関する最初のエコシステム全体的見解を確立し、この急速に成長するプロトコルのセキュリティ基盤を強化するためのツールと洞察を提供する。
論文 参考訳(メタデータ) (2025-12-03T13:25:59Z) - Trace: Securing Smart Contract Repository Against Access Control Vulnerability [58.02691083789239]
GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。
サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。
スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限されている。
論文 参考訳(メタデータ) (2025-10-22T05:18:28Z) - Mind Your Server: A Systematic Study of Parasitic Toolchain Attacks on the MCP Ecosystem [13.95558554298296]
大規模言語モデル(LLM)は、モデルコンテキストプロトコル(MCP)を通じて、外部システムとますます統合される。
本稿では,MCP Unintended Privacy Disclosure (MCP-UPD) としてインスタンス化された新たな攻撃方法であるParasitic Toolchain Attacksを明らかにする。
悪意のあるロジックはツールチェーンに侵入し,寄生的取り込み,プライバシコレクション,プライバシ開示という3つのフェーズで展開する。
論文 参考訳(メタデータ) (2025-09-08T11:35:32Z) - ProtocolLLM: RTL Benchmark for SystemVerilog Generation of Communication Protocols [45.66401695351214]
本稿では,広く使用されているSystemVerilogプロトコルを対象とした最初のベンチマークスイートであるProtocolLLMを紹介する。
我々は,ほとんどのモデルがタイミング制約に従う通信プロトコルのSystemVerilogコードを生成するのに失敗したことを観察する。
論文 参考訳(メタデータ) (2025-06-09T17:10:47Z) - MCP Safety Audit: LLMs with the Model Context Protocol Allow Major Security Exploits [0.0]
Model Context Protocol (MCP) は、大規模言語モデル(LLM)、データソース、エージェントツールへのAPI呼び出しを標準化するオープンプロトコルである。
現在のMPP設計はエンドユーザーに幅広いセキュリティリスクをもたらすことを示す。
任意のMPPサーバのセキュリティを評価するために,安全監査ツールであるMPPSafetyScannerを導入する。
論文 参考訳(メタデータ) (2025-04-02T21:46:02Z) - CryptoFormalEval: Integrating LLMs and Formal Verification for Automated Cryptographic Protocol Vulnerability Detection [41.94295877935867]
我々は,新たな暗号プロトコルの脆弱性を自律的に識別する大規模言語モデルの能力を評価するためのベンチマークを導入する。
私たちは、新しい、欠陥のある通信プロトコルのデータセットを作成し、AIエージェントが発見した脆弱性を自動的に検証する方法を設計しました。
論文 参考訳(メタデータ) (2024-11-20T14:16:55Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。