Нарушение протокола: анализ безопасности спецификации протокола контекста модели и уязвимости внезапного внедрения в агентах LLM, интегрированных в инструменты
Аннотация
Протокол Model Context Protocol (MCP) стал де-факто стандартом для интеграции больших языковых моделей с внешними инструментами, однако официального анализа безопасности спецификации протокола не существует. Мы представляем первый тщательный анализ безопасности архитектурного дизайна MCP, в котором выявлены три фундаментальные уязвимости на уровне протокола: (1) отсутствие подтверждения возможностей, позволяющее серверам запрашивать произвольные разрешения, (2) двунаправленная выборка без аутентификации источника, позволяющая вводить запросы со стороны сервера, и (3) неявная передача доверия в конфигурациях с несколькими серверами. Мы реализуем ProtoAmp, новую платформу, соединяющую существующие тесты безопасности агентов с инфраструктурой, совместимой с MCP, что позволяет напрямую измерять поверхности атаки, специфичные для протокола. Посредством контролируемых экспериментов с 847 сценариями атак на пяти реализациях сервера MCP мы демонстрируем, что архитектурные решения MCP увеличивают вероятность успеха атак на 23-41 % по сравнению с эквивалентными интеграциями, не использующими MCP. Мы предлагаем AttestMCP, обратно совместимое расширение протокола, добавляющее атестацию возможностей и аутентификацию сообщений, что снижает вероятность успеха атак с 52,8% до 12,4% при средней задержке 8,3 мс на сообщение. Наши выводы показывают, что слабые места MCP в плане безопасности связаны скорее с архитектурой, чем с реализацией, и требуют исправления на уровне протокола.
Это произведение доступно по лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная.
Редакционная политика журнала основывается на традиционных этических принципах российской научной периодики и строится с учетом этических норм работы редакторов и издателей, закрепленных в Кодексе поведения и руководящих принципах наилучшей практики для редактора журнала (Code of Conduct and Best Practice Guidelines for Journal Editors) и Кодексе поведения для издателя журнала (Code of Conduct for Journal Publishers), разработанных Комитетом по публикационной этике - Committee on Publication Ethics (COPE). В процессе издательской деятельности редколлегия журнала руководствуется международными правилами охраны авторского права, нормами действующего законодательства РФ, международными издательскими стандартами и обязательной ссылке на первоисточник.
Журнал позволяет авторам сохранять авторское право без ограничений. Журнал позволяет авторам сохранить права на публикацию без ограничений.
Издательская политика в области авторского права и архивирования определяются «зеленым цветом» в базе данных SHERPA/RoMEO.
Все статьи распространяются на условиях лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная, которая позволяет другим использовать, распространять, дополнять эту работу с обязательной ссылкой на оригинальную работу и публикацию в этом журналe.
