Injeksi Alat Tengah-Sesi WebMCP (MSTI) — Skrip Pihak Ketiga Dapat Membajak atau Memanipulasi Alat Agen Selama Sesi Langsung melalui Protokol WebMCP

Peneliti dari National Chiao Tung University/National Yang Ming Chiao Tung University (Taiwan) mengidentifikasi kelas serangan baru — Mid-Session Tool Injection (MSTI) — terhadap protokol WebMCP yang sedang berkembang, yang memungkinkan situs web untuk mengekspos alat terstruktur secara langsung kepada agen AI. Berbeda dengan MCP tradisional di mana set alat bersifat statis, WebMCP mendukung pendaftaran alat dinamis dalam satu sesi. Penyerang yang dapat menyuntikkan skrip pihak ketiga ke dalam sesi WebMCP dapat melaksanakan dua sub-serangan yang berbeda: Tool Hijacking, yang memodifikasi set alat yang terlihat oleh agen menggunakan AbortSignal API atau kondisi balapan selama pendaftaran alat; dan Tool Framing, yang memanipulasi persepsi agen tentang peran alat dengan meracuni bidang metadata (nama alat, deskripsi, readOnlyHint, inputSchema). Makalah ini menunjukkan bahwa kedua teknik dapat berhasil mengalihkan eksekusi tugas agen menuju hasil yang berbahaya.

Penyerang menyuntikkan skrip pihak ketiga berbahaya ke dalam sesi web yang didukung WebMCP. Skrip berlomba melawan pendaftaran alat yang sah atau mengeksploitasi AbortSignal API untuk menggantikan alat berbahaya dengan alat yang sah, atau memodifikasi metadata alat untuk menyebabkan agen memperlakukan alat berbahaya sebagai aman dan sesuai dengan tugas. Tidak ada akses langsung ke sistem host agen yang diperlukan — permukaan serangan adalah lapisan pendaftaran alat dinamis itu sendiri.

Agen AI yang menggunakan protokol WebMCP untuk berinteraksi dengan konten web; memengaruhi runtime agen apa pun yang mempercayai pendaftaran alat WebMCP dari sumber skrip pihak ketiga. Pengujian dilakukan terhadap tiga LLM SOTA. Tingkat eksposur dunia nyata tergantung pada laju adopsi WebMCP, yang masih awal tetapi berkembang.

Mitigasi yang diusulkan oleh para penulis: (1) mengikat identitas alat ke domain asalnya, mencegah substitusi alat lintas-asal; (2) menerapkan konsistensi siklus hidup — pendaftaran alat tidak boleh dapat dimodifikasi tengah-sesi setelah persetujuan awal; (3) menerapkan batasan data untuk cakupan alat pihak ketiga; (4) mempertahankan log yang dapat dilacak dari semua acara pendaftaran dan pemanggilan alat. Organisasi yang menerapkan agen yang didukung WebMCP harus mengaudit model kepercayaan pendaftaran alat sebelum penyebaran produksi.