MCP Safety Audit: LLMs with the Model Context Protocol Allow Major Security Exploits

要約

開発オーバーヘッドを削減し、特定の生成AIアプリケーションを構成する潜在的なコンポーネント間のシームレスな統合を可能にするために、モデルコンテキストプロトコル（MCP）（Anthropic、2024）が最近リリースされ、その後広く採用されました。
MCPは、API呼び出しを大規模な言語モデル（LLM）、データソース、およびエージェントツールに標準化するオープンプロトコルです。
複数のMCPサーバーを接続することにより、それぞれが一連のツール、リソース、およびプロンプトで定義され、ユーザーはLLMSによって完全に駆動される自動ワークフローを定義できます。
ただし、現在のMCPデザインは、エンドユーザーに幅広いセキュリティリスクを伴うことを示しています。
特に、業界をリードするLLMがMCPツールを使用して、悪意のあるコード実行、リモートアクセス制御、資格盗難など、さまざまな攻撃を通じてAI開発者のシステムを妥協するように強制される可能性があることを実証します。
これらおよび関連する攻撃を積極的に緩和するために、任意のMCPサーバーのセキュリティを評価する最初のエージェントツールである安全監査ツールであるMcPsafetyScannerを紹介します。
McPscannerはいくつかのエージェントを使用して、（a）MCPサーバーのツールとリソースを考慮して敵対的なサンプルを自動的に決定します。
（b）これらのサンプルに基づいた関連する脆弱性と修復を検索する。
（c）すべての調査結果を詳述するセキュリティレポートを生成します。
私たちの仕事は、汎用エージェントワークフローに関する深刻なセキュリティの問題を強調しながら、MCPサーバーの安全性を監査するための積極的なツールを提供し、展開前に検出された脆弱性に対処します。
説明されているMCPサーバー監査ツールであるMcPsafetyScannerは、https：//github.com/johnhalloran321/mcpsafetyscanで無料で入手できます。

要約(オリジナル)

To reduce development overhead and enable seamless integration between potential components comprising any given generative AI application, the Model Context Protocol (MCP) (Anthropic, 2024) has recently been released and subsequently widely adopted. The MCP is an open protocol that standardizes API calls to large language models (LLMs), data sources, and agentic tools. By connecting multiple MCP servers, each defined with a set of tools, resources, and prompts, users are able to define automated workflows fully driven by LLMs. However, we show that the current MCP design carries a wide range of security risks for end users. In particular, we demonstrate that industry-leading LLMs may be coerced into using MCP tools to compromise an AI developer’s system through various attacks, such as malicious code execution, remote access control, and credential theft. To proactively mitigate these and related attacks, we introduce a safety auditing tool, MCPSafetyScanner, the first agentic tool to assess the security of an arbitrary MCP server. MCPScanner uses several agents to (a) automatically determine adversarial samples given an MCP server’s tools and resources; (b) search for related vulnerabilities and remediations based on those samples; and (c) generate a security report detailing all findings. Our work highlights serious security issues with general-purpose agentic workflows while also providing a proactive tool to audit MCP server safety and address detected vulnerabilities before deployment. The described MCP server auditing tool, MCPSafetyScanner, is freely available at: https://github.com/johnhalloran321/mcpSafetyScanner

arxiv情報

提供元, 利用サービス

arxiv.jp, Google